到今年年底將有250億臺設備連接到互聯網上,而IDC公司則相信到2017年物聯網元件市場將產生7.3萬億美元的收入。對于企業家和大公司來說,這些數字具有足夠的吸引力來激勵他們創建看起來“新”的聯網產品、服務或功能。
然而,急于想讓產品第一個上市的競爭壓力常常導致快速匆忙的決策。雖然物聯網仍然處于早期發展階段,但越來越多的人已經認識到,不良的應用開發和設計經常不在少數。由于將各種傳統“啞”設備如何做得“智能”沒有實質上的限制,許多物聯網安全問題可以追溯到有關所實現的“智慧”功能類型、它們是如何實現的以及它們的使用范圍方面做出的欠佳決策。不過物聯網公司還是可以從IT行業在過去20多年中實現的安全性進步中學到了些經驗。
信息技術的消費化意味著,設計并向消費者推銷的技術經常能在工作場所中找到用武之地。一旦技術上市后,就很難知道你的技術將如何被應用。在數據泄漏成為人們街頭巷尾熱議頭條的時代中,如果在產品開發過程中沒有采取合適的安全措施,那么結果很可能是災難性的。物聯網確實伴隨著巨大的機會,但如果制造商在忙于向市場推出“下一件偉大作品”時沒有認真考慮安全性問題,那么可能很快就會被淘汰。對于商業應用開發人員來說,以下建議有助于確保安全性在整個開發過程中保持最高優先級。
#1 通過設計保證應用的安全
在開始任何應用的開發之前,設計師必須權衡“聯網”功能的優點和隨之帶來的安全漏洞缺點。物聯網應用在設計時必須評估諸如短消息和社交媒體整合等聯網功能的安全性和隱私問題。一個電子郵件代理要求清晰簡潔的安全配置指南,并具備強大的管理憑證,以屏蔽底層攻擊和端口掃描。這些基本的保護措施隨后會影響設計決策。對智慧功能的安全性進行嚴格的評估可能會增加開發成本,但是會節省后面發現缺陷時所花的時間和代價。
#2 從構思到部署的全程保護
聯網設備制造商還應該確保任何軟件升級或修改都需要管理人員首先認證設備,然后要求使用簽名的可執行文件來驗證待安裝軟件的完整性。設備必須能夠記錄可能是攻擊的活動。如果要求管理人員恢復被攻擊的系統,那么強大的記錄功能是必須的。
在今天的物聯網世界中,要求最終用戶發揮他們的主動性并設置長口令是不夠的。在用戶中存在“設過就忘的”心理,因此不足以保證長期的安全性。
#3 避免“模糊性安全”
開發階段的另一個常見錯誤是危險的“模糊性安全”方法 ,也就是說假設黑客對你的產品不感興趣。產品設計時必須有這樣一個前提:它們一定會被購買、拆解和研究。諸如嵌入式密鑰或弱認證等安全捷徑也許能節省時間,加快開發速度,但整個信息技術生態系統可能很快會變成整個僵尸網絡。
#4 不要把你的供應鏈變成最脆弱的鏈接
你千萬不能低估了仔細篩選供應鏈合作伙伴的重要性,要確保合約和服務提供商協議能夠保護你。通過使用新興的硬件安全技術,許多公司可以消除惡意供應商或制造商的風險。這些技術允許所有密鑰或知識產權直接在芯片上進行安保和驗證。同樣這種方法還能幫助你防止設備的克隆或偽造。
#5 將安全作為第一考慮要素
雖然強大的安全性是絕對必須的,但公司也必須作好安全屏障被突破的準備。只有強大的外部安全是不夠的,系統設計時就必須考慮被攻擊的情況。傳統的IT系統只在遇到攻擊事件時才想起來加密數據庫中的信息。物聯網設備必須保證設備的關鍵功能不受“智慧”功能的影響或攻擊。舉例來說,如果汽車變得更加聯網,制造商應該將不同的系統分隔開來,確保黑客不能拿到“關鍵密鑰”。比如將氣囊系統與車載信息娛樂系統分隔開來。
遺憾的是,搭建一個物聯網產品可不只是將你的產品連接到互聯網這么簡單。
雖然很多公司拼命想第一時間將產品推向市場,但欲速則不達,更快并不意味著更安全。由聯網產品引起的安全和隱私問題經常是非常微妙和復雜的。任何指望設計和部署應用的業務必須在每步決策中考慮強大的安全策略。對于資源有限的公司來說,物聯網平臺即服務可以解決設計不良的物聯網產品中隱藏的許多安全性和數據完整性問題。這些工具可以幫助你根據工業標準的加密協議順利實現安全的通信,并將詳細的用戶配置信息擴展到物聯網產品。這樣做也能縮短產品的上市時間,也可以避免將來后悔的尷尬。
京公網安備 11010502049343號