保护物联网安全已成为关键业务

Zeus Kerravala 陈琳华

DigiCert最近的一项调查发现，对物联网安全的投资可能会产生积极的重大业务影响。

物联网时代已经到来。83%的公司表示目前物联网（IoT）对于业务非常重要，92%的公司表示物联网将在两年内对公司的业务非常重要。

数据是根据DigiCert委托市场调研机构ReRez Research对全球700家公司进行调查后所得出的结论，目的是为了更好地了解物联网和物联网安全。

我一直认为当人们不再对某个事物大惊小怪之时就表明这个市场已经成熟了。例如，我们在几年前还很难在传统的机器对机器行业（如制造业、石油和天然气）之外找到的物联网部署。如今，互连设备已无处不在。一个很好的例子是，我最近采访了一名IT总监，他带领我参观了所有的互连设备，期间一句话也没有提到“物联网”。这家公司正在尝试着将更多的设备连接起来以改善客户体验，而这一努力并没有被视为什么了不起的工作。

物联网正带来新的安全风险

近乎无处不在的物联网确实存在安全风险，因为它们成为了黑客攻击中的一个重要威胁向量。DigiCert的调查目的是为了掌握物联网的部署情况，了解安全隐患，并量化评估物联网安全投资的好处。该调查重点关注物联网最为成熟的四个垂直领域——工业、消费者产品、医疗保健和运输，并对各种规模的企业进行抽样（中型公司标准为员工数量达到3000名）。

在调查中，当问及这些企业想通过物联网实现哪些目标时，回答最多的是运营效率、客户体验、增加收入和业务敏捷性。根据我的经验，在物联网部署的早期阶段，企业的目标是希望通过自动化降低成本、提高效率，但他们会很快将目标转为客户体验，并希望以此创造新的收入来源。

该调查还问及了企业在物联网方面最关注的问题。回答最多的是安全性。这一结果并不在意料之外，因为物联网设备创造了新的切入点。

根据物联网安全水平，DigiCert将用户分为三部分。

● 顶层——问题最少且不太可能报告存在物联网安全问题的企业

● 中层——在物联网安全方面存在一些问题的企业

● 底层——存在大量物联网安全问题的企业

为了构建良好的分布以分析他们之间的差异，上述三个部分中的每个部分均占调查的三分之一。

底层企业面临更多的安全挑战

DigiCert对顶层和底层进行了比较，以量化投资物联网安全的好处。对于底层企业，他们发现具有以下特点：

● 与顶层企业相比，底层企业在“内部缺乏适当的物联网安全技能”方面的比率要高出38%，这也是最严重一个问题。

● 存在隐私问题的比率要高出27%

● 存在可扩展性问题的比率要高出26%

●  存在安全问题的比率要高出17%

● 缺乏物联网安全标准的比率要高出17%

● 存在监管问题的比率要高出13%

顶层企业较少发生安全事件

该调查对实际发生的安全事件展开了深入研究。一个有意思的数据是，只有不到三分之一的顶层企业发生过安全事件。而在底层企业中所有的企业至少都发生过一次安全事件。将两个数据对比，我们能够清楚地看到安全投资可产生有很大的回报。

这些底层企业还存在以下特点：

● 遭到物联网拒绝服务攻击的数量是顶层企业的六倍以上

● 物联网设备遭到未经授权访问的数量是顶层企业的六倍以上

● 发生物联网数据泄露事件数量几乎是顶层企业的六倍

● 遭到物联网恶意软件或勒索软件攻击的次数是顶层企业的五倍

目前，专注于物联网设备的攻击者数量还相对较少。不过，随着物联网的增长，预计专门针对物联网的攻击在数量上也将会增加。在这一波浪潮出现后，底层企业可能会发现他们遭到攻击的数量将出现大幅增加。

物联网安全事件将使底层企业蒙受重大损失

该调查对过去两年中发生的安全事件所造成的实际损失进行了深入研究。如果说在物联网安全的重要性方面有什么惊人发现的话，那就是我们发现25%的底层企业在过去两年内与物联网安全有关的损失至少达到了3400万美元。 对于底层企业，以下领域损失最为惨重：

● 财务损失（59%）

● 生产力下降（59%）

● 法律与合规处罚（43%）

● 名誉受损（40%）

● 股价下跌（31%）

我不希望给读者造成顶层企业就没有安全问题的错误印象，只是因为他们采取了适当的措施，安全事件没有给他们造成重大损失而已。

加密和完整性是顶层企业常用的最佳实践

由于我们发现顶层企业比中层和底层企业有着明显的优势，因此了解这些顶层企业的最佳实践具有重要意义。

● 加密敏感数据

● 确保数据在设备之间传输的完整性

● 全面规划安全措施

● 确保可通过无线下载（OTA）方式及时更新

● 确保基于软件的密钥存储的安全

5个关键的物联网安全最佳实践

未来五年将有数百亿台物联网设备被部署，IT领导者需要为此做好准备。为了解决这个问题，DigiCert就如何在推进物联网部署的同时将安全风险降至最低給出了一些建议：

1. 审查风险：执行渗透测试以评估连接设备的风险。评估风险并建立优先级列表，以解决主要的安全问题，例如身份验证和加密。扎实的风险评估有助于确保相互连接的部分在安全等级上没有差距。

2. 加密所有内容：连接设备时，所有数据无论处于静止状态还是传输状态都应当加密。让端到端加密成为产品的必备功能，从而确保所有的物联网端点上都可有这一关键的安全功能。

3. 每次操作都验证身份：检查所有与物联网设备（包括设备和用户）的连接，确保身份验证方案仅允许可信任的连接。通过将身份与加密协议绑定，数字证书可实现无缝身份验证。

4. 全面落实完整性：详细介绍设备和数据完整性的基础知识（包括每次设备启动时的安全引导），确保无线更新的安全，使用代码签名以确保设备上运行的代码的完整性。

5. 针对规模扩展制定相应战略：开发一个可缩放的安全框架和体系结构，以支持所有的物联网部署。制定相应的规划并与可帮助自己实现业务目标的第三方展开合作。