Zeus Kerravala 陳琳華

DigiCert最近的一項(xiàng)調(diào)查發(fā)現(xiàn)，對(duì)物聯(lián)網(wǎng)安全的投資可能會(huì)產(chǎn)生積極的重大業(yè)務(wù)影響。

物聯(lián)網(wǎng)時(shí)代已經(jīng)到來(lái)。83%的公司表示目前物聯(lián)網(wǎng)（IoT）對(duì)于業(yè)務(wù)非常重要，92%的公司表示物聯(lián)網(wǎng)將在兩年內(nèi)對(duì)公司的業(yè)務(wù)非常重要。

數(shù)據(jù)是根據(jù)DigiCert委托市場(chǎng)調(diào)研機(jī)構(gòu)ReRez Research對(duì)全球700家公司進(jìn)行調(diào)查后所得出的結(jié)論，目的是為了更好地了解物聯(lián)網(wǎng)和物聯(lián)網(wǎng)安全。

我一直認(rèn)為當(dāng)人們不再對(duì)某個(gè)事物大驚小怪之時(shí)就表明這個(gè)市場(chǎng)已經(jīng)成熟了。例如，我們?cè)趲啄昵斑€很難在傳統(tǒng)的機(jī)器對(duì)機(jī)器行業(yè)（如制造業(yè)、石油和天然氣）之外找到的物聯(lián)網(wǎng)部署。如今，互連設(shè)備已無(wú)處不在。一個(gè)很好的例子是，我最近采訪了一名IT總監(jiān)，他帶領(lǐng)我參觀了所有的互連設(shè)備，期間一句話也沒(méi)有提到“物聯(lián)網(wǎng)”。這家公司正在嘗試著將更多的設(shè)備連接起來(lái)以改善客戶體驗(yàn)，而這一努力并沒(méi)有被視為什么了不起的工作。

物聯(lián)網(wǎng)正帶來(lái)新的安全風(fēng)險(xiǎn)

近乎無(wú)處不在的物聯(lián)網(wǎng)確實(shí)存在安全風(fēng)險(xiǎn)，因?yàn)樗鼈兂蔀榱撕诳凸糁械囊粋€(gè)重要威脅向量。DigiCert的調(diào)查目的是為了掌握物聯(lián)網(wǎng)的部署情況，了解安全隱患，并量化評(píng)估物聯(lián)網(wǎng)安全投資的好處。該調(diào)查重點(diǎn)關(guān)注物聯(lián)網(wǎng)最為成熟的四個(gè)垂直領(lǐng)域——工業(yè)、消費(fèi)者產(chǎn)品、醫(yī)療保健和運(yùn)輸，并對(duì)各種規(guī)模的企業(yè)進(jìn)行抽樣（中型公司標(biāo)準(zhǔn)為員工數(shù)量達(dá)到3000名）。

在調(diào)查中，當(dāng)問(wèn)及這些企業(yè)想通過(guò)物聯(lián)網(wǎng)實(shí)現(xiàn)哪些目標(biāo)時(shí)，回答最多的是運(yùn)營(yíng)效率、客戶體驗(yàn)、增加收入和業(yè)務(wù)敏捷性。根據(jù)我的經(jīng)驗(yàn)，在物聯(lián)網(wǎng)部署的早期階段，企業(yè)的目標(biāo)是希望通過(guò)自動(dòng)化降低成本、提高效率，但他們會(huì)很快將目標(biāo)轉(zhuǎn)為客戶體驗(yàn)，并希望以此創(chuàng)造新的收入來(lái)源。

該調(diào)查還問(wèn)及了企業(yè)在物聯(lián)網(wǎng)方面最關(guān)注的問(wèn)題?；卮鹱疃嗟氖前踩?。這一結(jié)果并不在意料之外，因?yàn)槲锫?lián)網(wǎng)設(shè)備創(chuàng)造了新的切入點(diǎn)。

根據(jù)物聯(lián)網(wǎng)安全水平，DigiCert將用戶分為三部分。

● 頂層——問(wèn)題最少且不太可能報(bào)告存在物聯(lián)網(wǎng)安全問(wèn)題的企業(yè)

● 中層——在物聯(lián)網(wǎng)安全方面存在一些問(wèn)題的企業(yè)

● 底層——存在大量物聯(lián)網(wǎng)安全問(wèn)題的企業(yè)

為了構(gòu)建良好的分布以分析他們之間的差異，上述三個(gè)部分中的每個(gè)部分均占調(diào)查的三分之一。

底層企業(yè)面臨更多的安全挑戰(zhàn)

DigiCert對(duì)頂層和底層進(jìn)行了比較，以量化投資物聯(lián)網(wǎng)安全的好處。對(duì)于底層企業(yè)，他們發(fā)現(xiàn)具有以下特點(diǎn)：

● 與頂層企業(yè)相比，底層企業(yè)在“內(nèi)部缺乏適當(dāng)?shù)奈锫?lián)網(wǎng)安全技能”方面的比率要高出38%，這也是最嚴(yán)重一個(gè)問(wèn)題。

● 存在隱私問(wèn)題的比率要高出27%

● 存在可擴(kuò)展性問(wèn)題的比率要高出26%

●? 存在安全問(wèn)題的比率要高出17%

● 缺乏物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)的比率要高出17%

● 存在監(jiān)管問(wèn)題的比率要高出13%

頂層企業(yè)較少發(fā)生安全事件

該調(diào)查對(duì)實(shí)際發(fā)生的安全事件展開(kāi)了深入研究。一個(gè)有意思的數(shù)據(jù)是，只有不到三分之一的頂層企業(yè)發(fā)生過(guò)安全事件。而在底層企業(yè)中所有的企業(yè)至少都發(fā)生過(guò)一次安全事件。將兩個(gè)數(shù)據(jù)對(duì)比，我們能夠清楚地看到安全投資可產(chǎn)生有很大的回報(bào)。

這些底層企業(yè)還存在以下特點(diǎn)：

● 遭到物聯(lián)網(wǎng)拒絕服務(wù)攻擊的數(shù)量是頂層企業(yè)的六倍以上

● 物聯(lián)網(wǎng)設(shè)備遭到未經(jīng)授權(quán)訪問(wèn)的數(shù)量是頂層企業(yè)的六倍以上

● 發(fā)生物聯(lián)網(wǎng)數(shù)據(jù)泄露事件數(shù)量幾乎是頂層企業(yè)的六倍

● 遭到物聯(lián)網(wǎng)惡意軟件或勒索軟件攻擊的次數(shù)是頂層企業(yè)的五倍

目前，專注于物聯(lián)網(wǎng)設(shè)備的攻擊者數(shù)量還相對(duì)較少。不過(guò)，隨著物聯(lián)網(wǎng)的增長(zhǎng)，預(yù)計(jì)專門(mén)針對(duì)物聯(lián)網(wǎng)的攻擊在數(shù)量上也將會(huì)增加。在這一波浪潮出現(xiàn)后，底層企業(yè)可能會(huì)發(fā)現(xiàn)他們?cè)獾焦舻臄?shù)量將出現(xiàn)大幅增加。

物聯(lián)網(wǎng)安全事件將使底層企業(yè)蒙受重大損失

該調(diào)查對(duì)過(guò)去兩年中發(fā)生的安全事件所造成的實(shí)際損失進(jìn)行了深入研究。如果說(shuō)在物聯(lián)網(wǎng)安全的重要性方面有什么驚人發(fā)現(xiàn)的話，那就是我們發(fā)現(xiàn)25%的底層企業(yè)在過(guò)去兩年內(nèi)與物聯(lián)網(wǎng)安全有關(guān)的損失至少達(dá)到了3400萬(wàn)美元。 對(duì)于底層企業(yè)，以下領(lǐng)域損失最為慘重：

● 財(cái)務(wù)損失（59%）

● 生產(chǎn)力下降（59%）

● 法律與合規(guī)處罰（43%）

● 名譽(yù)受損（40%）

● 股價(jià)下跌（31%）

我不希望給讀者造成頂層企業(yè)就沒(méi)有安全問(wèn)題的錯(cuò)誤印象，只是因?yàn)樗麄儾扇×诉m當(dāng)?shù)拇胧?，安全事件沒(méi)有給他們?cè)斐芍卮髶p失而已。

加密和完整性是頂層企業(yè)常用的最佳實(shí)踐

由于我們發(fā)現(xiàn)頂層企業(yè)比中層和底層企業(yè)有著明顯的優(yōu)勢(shì)，因此了解這些頂層企業(yè)的最佳實(shí)踐具有重要意義。

● 加密敏感數(shù)據(jù)

● 確保數(shù)據(jù)在設(shè)備之間傳輸?shù)耐暾?/p>

● 全面規(guī)劃安全措施

● 確保可通過(guò)無(wú)線下載（OTA）方式及時(shí)更新

● 確?；谲浖拿荑€存儲(chǔ)的安全

5個(gè)關(guān)鍵的物聯(lián)網(wǎng)安全最佳實(shí)踐

未來(lái)五年將有數(shù)百億臺(tái)物聯(lián)網(wǎng)設(shè)備被部署，IT領(lǐng)導(dǎo)者需要為此做好準(zhǔn)備。為了解決這個(gè)問(wèn)題，DigiCert就如何在推進(jìn)物聯(lián)網(wǎng)部署的同時(shí)將安全風(fēng)險(xiǎn)降至最低給出了一些建議：

1. 審查風(fēng)險(xiǎn)：執(zhí)行滲透測(cè)試以評(píng)估連接設(shè)備的風(fēng)險(xiǎn)。評(píng)估風(fēng)險(xiǎn)并建立優(yōu)先級(jí)列表，以解決主要的安全問(wèn)題，例如身份驗(yàn)證和加密。扎實(shí)的風(fēng)險(xiǎn)評(píng)估有助于確保相互連接的部分在安全等級(jí)上沒(méi)有差距。

2. 加密所有內(nèi)容：連接設(shè)備時(shí)，所有數(shù)據(jù)無(wú)論處于靜止?fàn)顟B(tài)還是傳輸狀態(tài)都應(yīng)當(dāng)加密。讓端到端加密成為產(chǎn)品的必備功能，從而確保所有的物聯(lián)網(wǎng)端點(diǎn)上都可有這一關(guān)鍵的安全功能。

3. 每次操作都驗(yàn)證身份：檢查所有與物聯(lián)網(wǎng)設(shè)備（包括設(shè)備和用戶）的連接，確保身份驗(yàn)證方案僅允許可信任的連接。通過(guò)將身份與加密協(xié)議綁定，數(shù)字證書(shū)可實(shí)現(xiàn)無(wú)縫身份驗(yàn)證。

4. 全面落實(shí)完整性：詳細(xì)介紹設(shè)備和數(shù)據(jù)完整性的基礎(chǔ)知識(shí)（包括每次設(shè)備啟動(dòng)時(shí)的安全引導(dǎo)），確保無(wú)線更新的安全，使用代碼簽名以確保設(shè)備上運(yùn)行的代碼的完整性。

5. 針對(duì)規(guī)模擴(kuò)展制定相應(yīng)戰(zhàn)略：開(kāi)發(fā)一個(gè)可縮放的安全框架和體系結(jié)構(gòu)，以支持所有的物聯(lián)網(wǎng)部署。制定相應(yīng)的規(guī)劃并與可幫助自己實(shí)現(xiàn)業(yè)務(wù)目標(biāo)的第三方展開(kāi)合作。