不久前，域名服務提供商Dyn公司的網站遭遇分布式拒絕服務攻擊，這對于Netflix，Twitter和Spotify公司所擁有的上億用戶來說似乎是世界末日來臨，但安全專業人士表示，其服務中斷只是一個討厭的攻擊事件，相比之下，全球數十億個不安全的物聯網設備才有可能造成更大的潛在損害。

Unisys公司副總裁兼首席技術官尼古拉斯·埃文斯表示，“物聯網設備所造成的損害，可能只是冰山一角。隨著物聯網設備變得更加自主化，比如自駕車，或者更可控的設備，組織可以對其威脅強度進行分級，例如一些實際操縱物理環境的工廠的設備。這才是真正的威脅。”

根據研究機構Gartner公司的報告，到2020年，大約有208億個物聯網設備可以連接到互聯網，隨著無所不在的成本更低的傳感器的處理能力提高，以及帶寬的推動，每天將增加約550萬個設備。此外，到2020年，一半以上的主要新業務流程和系統將納入物聯網的一些要素。

Dyn公司遭遇的分布式拒絕服務攻擊引起了人們極大的關注，連接到互聯網的幾十億個設備，面臨沒有網絡安全保護的潛在危險。DDoS攻擊使用名為Mirai的惡意軟件感染那些在企業和家庭中應用的數千萬互聯網連接的設備，以中斷其在許多網站的服務。

行業專家對于那些將產品推向市場的物聯網供應商進行了批評，因為將會面臨物聯網淘金熱。

Gigamon公司安全顧問賈斯汀·哈爾維指責設備制造商為Dyn公司的DDoS攻擊推波助瀾，但他也承認大多數互聯網服務提供商可以在安全方面做得更好。

廉價的物聯網設備如今變得更容易生產，因為硬件制造商開發的廉價設備可以運行Linux系統中，并且可以執行許多家庭監控功能，如控制恒溫器。這些供應商更加專注于市場，而不是產品的安全性。結果這些廠商生產出的安全性不強的產品，并沒有得到有效的監督，這是因為廠商認為這些機器應該由客戶進行保護或更改密碼。

事實上，使情況復雜化的一個主要問題是，在解決方案一旦出現問題之后，安全通常是事后的想法。埃文斯說，IT安全專家和IT經理們一直呼吁在數十年來的的設備設計中建立安全性，就像從Web到移動性和云計算，以及現在的物聯網等進行的技術創新一樣。

一些安全專家認為，政府部門應該參與制定規范和監督設備制造。“如果發生了什么事，企業的設備被另外一個國家和黑客組織使用，無論是上百萬個設備還是只有一個，誰來負責？互聯網服務提供商是否負有責任？物聯設備的制造商是否有責任？因此需要政府部門為這些制造商制定法規和指南讓。”哈爾維說。

在互聯網服務提供商方面，哈爾維分析當今的DNS架構，“我不明白為什么互聯網服務提供商和其他提供互聯網接入的組織沒有加入理上不同的DNS系統，”他補充說，他不熟悉Dyn公司的具體架構。“而DNS本質上應該是容錯的”。例如，兩個IP地址分配給同一個設備，但通常都是與IP地址相同的數據中心，他說。對于如今的DDoS威脅，“為什么只有一個架構，只能鎖定一個ISP？”

企業物聯網

對于使用物聯網解決方案的企業，其安全難題非常復雜。埃文斯說，企業采用的任何一個物聯網解決方案可能涉及生態系統中的10個或更多合作伙伴，其包括應用層，設備，網關，通信和分析部件。他補充說：“等這個應用鏈中的任何薄弱的鏈接都是網絡犯罪分子可以進入的地方，并操縱設備。”

甚至公共部門也注意到了這種情況。雖然大多數政府機構不在自己的局域網內使用商業物聯網設備，但其工作人員已經建立了遠程工作計劃，工作人員正在通過他們家庭的寬帶連接進行工作，NSSPlus,公司是一家與美國國防部和其他政府機構開展合作的網絡安全系統提供商，該公司網絡安全副總裁薩迪亞·卡里姆表示，“美國國防部和聯邦政府已經制定了更多的標準和指導方針，指出人們應該不再使用家用網絡辦公，即使他們采用通過VPN，包括更改默認密碼等措施。”

卡里姆表示，不過，互聯網用戶的人口統計數據并不是IT專業人員，預計不會采用這些安全措施。

安全框架

最近所發生的物聯網設備攻擊的目標是商業設備，而不是工業設備，工業互聯網聯盟希望能夠保持安全。2016年9月，由物聯網生態圈中一些最大的參與者組成的團隊推出了其工業互聯網安全框架，這是一套可以幫助開發人員和用戶評估風險并防御風險的最佳實踐框架。

該框架還為實施物聯網的安全性提供了系統化的方法，并提供了一種用于討論物聯網的通用語言。聯盟參與者說，其長期目標是使安全成為每個物聯網系統和實施的一個組成部分。

“一直以來，人們都承認這是至關重要的。問題是我們到底做什么。”英特爾公司物聯網安全解決方案首席架構師，工業互聯網聯盟(IIC)安全工作組聯席主席SvenSchrecker說，“在這個框架]中，我們解釋了在多個層面需要采取哪些措施。”

工業互聯網聯盟(IIC)認為，工業設備的原始所有者不應負責實施安全性，而是系統集成商可以依靠靠設備制造商，零部件制造商，芯片制造商和軟件供應商來保證其安全性。他說，“當所有這一切從底部向上流動時，這將是一個更加容易管理的安全解決方案。”他表示發布以來，新框架已經得到了很好的響應。

一些物聯網設備提供商認為安全是一個共同的責任。江森自控全球產品安全主管Jason Rosselot說：“物聯網設備制造商需要關注網絡安全設計，開發，以及部署，江森公司已經提供了互聯網連接的建筑控制，安全和消防技術十多年。同樣重要的是，物聯網設備的消費者必須優先考慮這些設備的安全性，包括在可用時立即部署更新和補丁，并將密碼從出廠默認值更改為復雜密碼。”

企業如何保護自己？

組織需要評估他們當前擁有并運行了哪些互聯網連接設備，他們的漏洞是什么，以及將如何解決這些漏洞。埃文斯說，調查機構Gartner公司將物聯網設備分為四類：被動的可識別的東西，如具有低威脅風險RFID標簽；傳遞有關自身信息的傳感器（如壓力傳感器）具有中等的威脅風險；可以遠程控制和操縱的設備，例如HVAC系統和自駕車；以及面臨敏感數據丟失，惡意軟件和破壞的最高風險的設備。

“在最基本的級別，默認用戶名和IP地址應該更改。預防措施還可以包括對設備進行細分，以限制由違規造成的損害，或至少控制或限制進入內部的網絡犯罪分子的行動。企業還可以選擇“認知防火墻”，其將安全控制放置在云計算中而不是在設備上，并且使用人工智能來確定在設備上請求的動作是否適當，諸如“打開微波爐100分鐘。”埃文斯說。

雖然Dyn公司遭遇的DDoS攻擊可能拉開了未來網絡攻擊的序幕，但也可能標志著物聯網產業動員的開始，將為物聯網設備引入安全標準。Schrecker說，“兩年前我會說，要實現物聯網安全的標準是沒有成果的，但是我們現在正在共同努力，一勞永逸地解決這個問題，因此現在還有一線希望。”