物联网能否既安全又灵活?

2022-06-17

      实践表明,物联网的安全性和用户体验之间平衡需要采用强大的安全策略。

 

 

      经过多年的期待,物联网(IoT)的应用将成为一种主流,目前有25%的企业使用物联网技术,而2014年这一比例仅为13%。随着物联网为越来越多的新技术提供支持(例如无人驾驶汽车和智能设备),其用途将会继续扩展。


      然而随着这种增长面临着一个关键问题:安全性。许多备受瞩目的网络攻击事件已经证明了物联网的脆弱性。当然,这个问题迫使很多企业考虑他们应该采取什么措施来降低风险——但它也提出了一个更重要的问题:是否有可能在无缝的用户体验和强大的安全性之间取得平衡?虽然这是可行的,但它需要一个全面的安全策略。


      物联网的兴起与网络安全挑战


      物联网在其推出之后的采用率一直保持稳定增长,如今已经成为一种主流技术。这一趋势将会进一步加快。预计到2023年,全球物联网设备的数量将增至430亿台,与2018年相比增长将近三倍。这种加速是由一系列因素推动的,如全球消费者对互联设备的需求、5G的激增、边缘计算的发展,以及工业4.0的采用。 物联网设备在设计和制造方面非常出色;然而,通常由于计算资源有限,它们没有足够的内置安全功能。因此,一些物联网系统可能成为网络攻击者的目标。然而,物联网设备中安全漏洞的后果不仅限于目标设备。受损的物联网系统可能会为黑客提供了对网络其余部分的完全访问权限,例如为勒索软件攻击奠定基础。


      安全问题会阻碍物联网吗?


      而物联网的应用也面临着不断变化的安全挑战。例如5G和物联网的结合构成了自动驾驶汽车运行基础设施的基础技术。5G将提供可扩展的、超可靠的低延迟网络,促进自动驾驶汽车的通信、控制和监控。与此同时,物联网设备以及其他网络物理系统(CPS)采用大量传感器,从执行器到智能视觉设备、车辆内部以及外部环境中的传感器,作为底层基础设施的一部分。正如这一用例所示,对于这种关键基础设施的安全攻击可能会导致灾难,包括可能导致自动驾驶汽车的乘客或路人伤亡。


      使情况进一步复杂化的是,这些安全问题并没有一个根本原因。与其相反,它们是由多种因素驱动的,其中包括不安全的界面、设备管理不善、数据保护不足和技能差距。然而,在更基本的层面上,这个问题的一部分是物联网设备制造商对安全或隐私的关注有限。


      答案是什么?


      对于物联网开发人员和架构师来说,在设计阶段以及作为软件开发生命周期的一部分进行构建时,都要考虑安全性。此外,工程、DevSecOps和质量保证(QA)团队之间的协作需要在软件和硬件生产的所有阶段具一个共同的安全目标。


      例如,目前常见的安全问题是设备认证和授权不足以及加密措施薄弱。解决这些问题的答案将是多因素设备身份验证和数字证书的组合,这将允许物联网设备得到唯一的识别和验证,确保只有获得授权的应用程序和个人才能访问。


      不断发展的问题需要不断发展的解决方案


      在物联网生态系统不断发展壮大的同时,所需遵循的安全和隐私条款也将随之增长。随着物联网设备越来越多地连接到IT基础设施,越来越多的黑客开始实施物联网攻击。 安全性不足的消费者物联网设备的漏洞可能会导致企业发生大规模安全事故。例如,易受攻击的智能电视、门铃或自动调温器可能会为网络攻击者打开大门。这种威胁在家庭远程工作环境中变得更为重要:一旦网络攻击者设法进入家庭网络,共享相同互联网连接或基础设施的其他公司或个人设备也将对外暴露。而受损家庭网络上的笔记本电脑可能会让病毒传播到企业的业务系统,甚至供应链。


      安全性与便利性能否兼顾?


      便利性是消费者物联网设备的主要特性之一,其中包括互操作性、易用性和无缝的用户体验。物联网架构师和系统工程师需要考虑并阐明为消费者和企业等提供便利的安全和隐私成本。


      为了兼顾便利性与强大的安全性或隐私性,企业需要实施网络安全策略,例如零信任和纵深防御以及最小特权原则。采用这种策略对改善和增强企业的安全状况具有直接影响。此外,它们的采用和实施将提高企业在发生网络攻击或安全漏洞时的弹性。


      显然,物联网的兴起带来了挑战,但也有明确的解决方案。网络安全和隐私问题需要跨学科合作,创新者、技术专家、社会科学家和政策制定者等需要联合起来,为采用新概念、技术和系统规划一条安全的前进道路。