到了2019年，業界還沒有為物聯網設備建立一個新的、全面的安全模式，這反映了保護物聯網在軟件和設備安全融合中的地位所面臨的挑戰。獨特的威脅環境需要一種基于網絡和人工智能(AI)安全最新進展的新安全方法。

 

 

思科公司預測，到2020年，物聯網設備的數量將超過500億臺。與此同時，企業正加快在物聯網工具方面進行投資，將超過2670億美元。而在2017年，對于物聯網設備的攻擊增加了600%，反映出安全漏洞和目標價值的重要性。美國國家安全局發布了一份關于應對智能家電黑客的建議，2018年的黑帽和DEF CON會議也指出大量的物聯網設備遭遇攻擊。

 

物聯網設備的普及和缺乏全面的物聯網安全性給企業帶來了各種風險。

 

首先，單獨改變或中斷連接設備的性能可能構成災難性的破壞，甚至產生生死攸關的后果。Stuxnet的攻擊以破壞中東某國的核計劃而聞名，它導致多達1000臺濃縮鈾離心機發生故障，并最終失效。此外，還有針對一些國家的電網基礎設施進行的攻擊。而對汽車和起搏器等消費類設備的干擾使駕駛人員面臨風險。在企業內部，篡改智能采礦、制造或農業設備可能導致商品和設備造成數百萬美元的損失。勒索贖金和黑客行動的發展趨勢已經擴大了潛在目標的范圍，使網絡攻擊者可以直接從漏洞中獲利。

 

除服務中斷外，物聯網系統還容易受到破壞，導致數據丟失。來自制造業和消費者傳感器的數據是一種寶貴的知識產權。消費者或企業設備丟失的數據可能構成侵犯隱私的行為，監管專家預計，在未來幾年，由于物聯網攻擊而引發的法律案件將會瘋狂滋生。

 

 

物聯網威脅環境包括集中式和分散式系統的元素。典型的架構涉及大量傳感器收集數據，然后對其進行整合和分析。實際上，可以將物聯網系統的漏洞分為兩類：傳感器的安全性和數據存儲庫的安全性。

 

物聯網設備在安全生命周期的所有階段(從預防、檢測到補救)都會產生責任。確保傳感器安全的挑戰始于準確的庫存。許多企業將很難評估所有正在使用的物聯網設備的安全狀況，從戰略性企業設備到區域辦事處的物聯網設備。許多物聯網設備缺乏筆記本電腦或智能手機上的基本安全功能。默認密碼、未修補的操作系統、網絡信任問題以及具有開放端口的未加密設備都是物聯網安全中常見的安全隱患。最后，物聯網設備可能不支持注冊它已被篡改的能力，從而限制了安全團隊檢測和響應網絡攻擊的能力。

 

物聯網本質上與云計算安全交織在一起。大多數傳感器的處理能力相對有限，并依靠云托管來分析數據。這些整合的存儲庫會在訪問控制，數據安全性和法規遵從性方面帶來風險。Gartner公司警告說，至少95%的云安全故障是客戶的錯誤，這意味著錯誤的安全設置將導致安全事故。對企業AWS S3存儲桶樣本的研究發現，7%的公共訪問權限不受限制，35%的存儲桶并未加密。專門用于審計和自動化云安全配置的供應商的數億美元支出證明了這種攻擊手段的廣度。

 

 

由于大量數據和強大分析提供的商業機會，很多企業在沒有強大安全性的情況下投資物聯網。而物聯網安全解決方案必須依靠這些優勢。

 

首先，物聯網安全從根本上要求基于網絡的實施。物聯網傳感器不支持智能手機可用的相同端點安全解決方案。傳統企業使用的設備數量龐大，使得設備級別的安全性變得不可行。網絡級別應用安全性使企業能夠在其物聯網產品組合中獲得整體可見性和執行力。

 

其次，企業可以使用來自物聯網設備的大量數據來實現神經網絡的行為安全性。目前用于物聯網的人工智能方法是簡單的統計偏差或異常檢測。他們可能會在大海撈針的查詢中找到需要的數據，來自物聯網系統的大量流量允許訓練神經網絡更準確地檢測惡意意圖，降低誤報率，并減輕警報疲勞。

 

迫使現有的企業安全方法進入物聯網系統是注定要失敗的。保護物聯網需要硬件和軟件的安全性組合，以應對連接設備和數據處理存儲庫的獨特風險和限制。通過為所使用的物聯網系統架構定制安全性，組織可以充分利用云計算和人工智能等技術帶來的所有好處。