保護物聯網(IoT)的速度一直很慢，并且會使用戶隱私和個人安全受到威脅。物聯網安全的主題在過去幾年中獲得了很多可見性。我們想知道這個行業是否比消費者做得更多，以提高安全性。此外，消費者對理解如何保護自己似乎并不感興趣。還能做些什么?在本文中，我們將嘗試將我們研究的所有要點匯總到這些要點中。我們將談論：

近年來的問題

為什么我們認為安全性目前不是物聯網制造商的最高優先級，但應該是

是否可以獲得安全的物聯網

最后，關于企業和消費者今天可以做些什么的一些建議

物聯網提供商應該從歷史中學習

在20世紀30年代，美國醫生開始在他們自己的汽車中安裝臨時安全帶，這是因為車輛相關的死亡和傷害經常發生在醫生身上。在接下來的幾十年里，汽車安全方面有了很多創新。直到1968年，第一部聯邦汽車安全法才生效。它要求所有機動車輛(公共汽車除外)都要制造并配備安全帶。對于許多人來說，安全帶可以挽救他們生命的基本理解足以證明穿著安全帶是合理的。

盡管有統計數據，但很多人繼續乘坐汽車而沒有安全帶。認識到一個簡單的措施被許多乘客所忽視，美國各州需要花費數年時間才能通過法律，這些法律實際上要求乘客系好安全帶或承擔罰款。為什么采用這種簡單的安全功能需要業界和消費者這么長時間?多年以后，關于物聯網安全的現狀，還會提出同樣的問題嗎?

像20世紀30年代的醫生一樣，我們意識到了這個問題

早在2014年，Target公司就正在應對來自遠程訪問其網絡的黑客的影響(通過HVAC系統：連接設備)。僅這一漏洞就損害了成千上萬的持卡人記錄。物聯網設備的安全性在2016年末引起了額外關注，當時發現Mirai僵尸網絡已經感染了專家估計成千上萬個連接設備。惡意代碼用于對各種目標發起分布式拒絕服務(DDoS)攻擊，從而導致廣泛的中斷。賽門鐵克在其2017年互聯網安全威脅報告中報告的另一個令人不安的事實是，破解連接設備的平均時間僅為兩分鐘。對于一個職業網絡犯罪分子來說，這不是一個需要克服的障礙。最終，對設備安全性的關注不僅僅是受感染的用戶/設備，還包括屬于這些設備所依賴的較大網絡的資產。因此，IT安全專家和專業人員關注連接設備的安全性已不是什么秘密。

專家估計，在未來五年內，將通過物聯網系統連接數量驚人的設備。根據Gartner Inc.的數據，2017年連接設備的數量達到約84億。他們預測到2020年市場將增長近三倍，達到204億。也許唯一比連接設備數量更令人驚訝的事實是無擔保數量連接設備。

消費者和行業需求推動了對增強功能和用戶體驗的需求。為了與當今市場的“即時滿足”胃口保持一致，消費者不會等待。簡單地說：制造只能滿足其功能目的的電器或產品的日子已經過去了。因此，與此同時，高管們為推動業務變革和創新提供這些產品的壓力越來越大，IT專業人員和安全專家也面臨同樣令人擔憂的問題：公司如何能夠滿足對智能設備的需求，同時也是聰明的安全嗎?為了回答這個問題，可能有助于概述為物聯網安全物聯網增加不必要的復雜性的一些因素：

非技術公司被迫在技術領域展開競爭

IT和安全專業人員短缺

各種設備都存在標準化挑戰

在只烤面包的烤面包機感覺過于古老的時候，似乎每家公司都需要成為一家科技公司。

鑒于前面提到的動態，如果一家公司要在當今的技術驅動型經濟中保持相關性，他們必須考慮自己在互聯設備領域的角色 - 即使他們是傳統的家電制造商或非技術公司。此外，似乎將“智能”方面帶入其產品的壓力還不夠，科技公司也在尋找打入傳統產品市場的方法，只會增加非科技公司在物聯網武器中競爭的緊迫感種族。這意味著原始設備制造商(“OEM”)或非技術公司承擔了快速將創新推向市場的高級任務，這不僅滿足了設備的原始用途，而且滿足了精通技術的用戶。

急于獲得“聰明”

什么是“非技術”公司?出于本討論的目的，非技術公司是生產或制造傳統上不被認為是智能或連接的產品或設備的公司(例如冰箱，廁所，加熱系統，醫療設備，汽車等)。另一方面，科技公司是主要生產或開發技術的公司; 想想谷歌，亞馬遜，微軟，IBM 等?？紤]到為傳統的非技術設備添加連接組件所需的大量專業知識，研究和開發，行業領導者正在尋找留在游戲中的方法。兩種常見的策略 非技術公司在物聯網領域的競爭正在與科技公司合并或收購，并與合資企業的科技公司合作。

非科技公司收購科技公司的情況有所好轉。 “紐約時報”依據彭博數據報道，2016年，“682家科技公司被一家非技術行業的公司收購，而科技公司則收購了655家。”根據這些數據，非科技公司賬戶近一半的科技公司收購。2017年，通用汽車采取了大膽舉措，以便與特斯拉在自動駕駛汽車市場上展開競爭。他們收購了Strobe，一家位于加利福尼亞州的相對年輕的公司，專門從事開發 的 無人駕駛技術。

惠而浦 是一家OEM的例子，該公司在2010年開始建立一家合資企業，將家用電器連接到互聯網。這一戰略舉措允許消費者通過智能手機遠程控制和監控他們的設備。他們通過與一家科技公司Prodea合作來幫助他們建立連接部分。

值得注意的是，上述每種策略在安全性方面都存在挑戰。通過收購技術提供商，仍然有責任確保為物聯網安全開發提供適當的資金。“ Gartner預測，到2020年，超過25%的企業發現的攻擊將涉及物聯網，盡管物聯網將占IT安全預算的不到10%。由于物聯網的預算有限以及組織中早期物聯網實施的分散方法，安全供應商將難以提供可用的物聯網安全功能。供應商將過分關注發現漏洞和漏洞，而不是分割和其他更好地保護物聯網的長期手段。“

外包并不能免除非技術公司的責任。 應制定謹慎的計劃，以確定誰負責確保產品的安全設計和設備的后續支持。只要非技術公司將軟件開發項目外包給第三方，非技術公司就需要負責制定完善的安全和可持續發展計劃。從本質上講，這要求他們通過代理成為一家科技公司。

一個合格的安全專業人員名單

智能技術需求的驚人增長只與擁有安全構建這些智能技術的技能的人員不斷增長相匹配。正如思科的Sudashan Krishnamurthi所報告的那樣，“許多組織都在努力了解哪些技能是成功的物聯網實施所必需的。”此外，根據ISC2，分析師認為到2020年安全專業人員短缺將達到150萬。

這并不是說物聯網行業沒有嘗試。為了彌補缺乏合格的專業人員，領先的安全行業組織正在加強認證計劃和培訓機會。例如，ISC2創建了國際學術計劃，以支持高等教育機構開發安全課程，以及網絡安全和教育中心，該中心已設立獎學金以吸引個人將網絡安全領域視為一種選擇。此外，ISC2強調了針對此問題的以下建議：

為實習和學徒提供更多機會，為學生提供教育后的入門級途徑。

當明天的領導者開始形成關于他們未來的想法時，我們的最年輕一代就會到來。將網絡安全和信息安全納入學術課程。

開辟新的人才來源或擴大仍未充分利用的現有人才庫的使用(例如 社區大學生，女性，回歸服務成員和少數群體)

整合工具和流程以優化整體人才資源。

最重要的風險是這些產品的創建和推向市場的速度。正如芝加哥論壇報，Haka Products創始人Colm Lennon 所引述的那樣，“在這個互聯物聯網領域的所有角色中，如果公司希望以極快的速度進行創新，而且還要以創新的方式進行創新，那么他們必須真正緊密合作。這樣做是為了保護他們的客戶，保護自己并保護他們的合作伙伴。“隨著企業努力發展和變革，他們的戰略需要將消費者保護納入競爭市場。

一種尺寸不適合所有

存在一系列設備和架構，并且存在各種安全挑戰。連接的設備執行各種功能，包括處理，存儲和傳輸數據; 有些人做三件事，有些人做，只有一件。此外，物聯網設備有各種形狀和大小。大多數設備都是小而離散的。那么為什么功能和大小會產生安全問題呢?

正如Nick Allot博士在2016 IoT安全會議上所指出的，一個重大的安全挑戰是處理難以支持適當加密的受限或低功耗設備。這些設備很小，處理能力自然受到限制。找到設備功能，尺寸和安全性之間的和諧平衡已被證明是設備開發商和制造商面臨的主要障礙之一。

單擊“推文”提供各種類型的架構。然而，根據發表在沙特國王大學期刊上的一項研究，“這些架構的核心問題是在抽象層面缺乏互連事物的完全互操作性。這導致調用 許多公布的問題，如此 如：降低了智能程度，適應性較差，匿名性有限，系統行為不良，信任度降低，隱私和安全性降低。物聯網架構由于其同質性方法的限制而確實會出現一些面向網絡的問題。“簡而言之，有許多偉大的”設計安全“架構，但使它們協同工作是一個挑戰。

應該要求設計安全

不管 路徑非技術公司正在將連接設備集成到他們的產品組合中，有一件事是肯定的：安全必須處于最前沿。雖然各行各業的管理層都在研究如何將物聯網納入未來的業務計劃，但安全專業人員必須制定并就標準達成共識。問題在于先進的全球經濟通過技術繼續增長，物聯網設備制造商沒有一套監管標準來確保設備安全。

物聯網行業現在可以開始做很多工作來改善安全性。行業，政府和SRO都在制定最佳實踐。云提供商 - 谷歌，亞馬遜和微軟 - 都公開擁有物聯網安全最佳實踐，保證安全的基礎設施，加密，身份驗證，及時修補和防范惡意活動。一些云提供商甚至指導設備制造商在構建時考慮到安全性。他們推廣諸如可修補設備設計，加密數據，沒有硬編碼密碼，沒有已知安全漏洞以及使用行業標準互聯網協議等標準。

同樣，物聯網安全基金會(IOTSF)是一個非營利性組織，已經開發了大量指導文檔，以解決設備制造商的物聯網安全框架檢查表，漏洞的報告和公告，以及產品和消費者安全意識支持。IOTSF建立了最佳實踐用戶標記，可供實施合規性框架建議的組織使用。馬薩諸塞州和加州參議員于2017年10月起草了一項法案，以確保物聯網設備滿足某些網絡安全要求。一個批準印章可能獲得類似的動力收視率目前所需的視頻游戲。參議員Edward J. Markey說，預期的結果將是“幫助消費者識別符合某些標準的產品”。今天擁有這些印章或標記的好處在于它們有助于提高消費者的意識，而不是等待制定法規。通過這種方式，經濟可以更快地驅動受保護的設備。