在物聯網部署的早期階段，安全性是一個低優先級的考慮因素，尤其是面向消費者的工具方面，而且事情并沒有發生太大變化，因此安全性通常落后物聯網產品的上市速度。但隨著越來越多的物聯網設備遭遇黑客攻擊，以及物聯網安全立法的推出，物聯網設備制造商和企業重新考慮物聯網安全的時機已經到來。

 

獨立安全評估機構ISE公司人事關系主管Lisa Green表示，“如今面臨的最大挑戰之一是，安全性在許多物聯網設備中仍然是事后的想法，在設計過程中沒有考慮到。為了正確地保護物聯網設備，制造商應該開始思考并理解惡意對手的動機。”

 

然而，現在由于廣為人知的網絡攻擊越來越多，企業開始從源自DevOps和DevSecOps原則的軟件開發生命周期方法中解決物聯網設備面臨的黑客挑戰。這其中包括將安全專業人員嵌入開發團隊進行更全面地安全測試，并允許加密的安全更新立即被推送到受感染的設備。

 

 

假設物聯網設備都是完全的并不現實。盡管很多組織盡最大努力識別和修復安全漏洞，但黑客們仍將繼續為了樂趣和利益而進行攻擊。物聯網設備本質上是相互連接的，使其成為各種網絡攻擊者的攻擊目標。當物聯網設備被用于保護汽車、打開門鎖或運行工業設備時，就會增加更大的風險。

 

分布式天氣預報服務商Understory公司首席執行官Alex Kubicek說，“計算能力和資源是物聯網安全的最大挑戰。”加密、防火墻和其他保護需要計算周期，而且在很多時候，嵌入式系統已經達到了資源限制。另外，在許多情況下，企業無法通過物理方式訪問硬件。這會使確定的問題變得更具挑戰性，尤其是在設備被攻擊的情況下。Kubicek表示，與消費者物聯網部署相比，這在工業物聯網中更為嚴重。

 

行業領先的軟件開發組織意識到，通過將安全專家嵌入軟件開發團隊，他們可以縮短開發周期，可以減少物聯網設備被黑客攻擊的可能性。這些專家可以評估黑客可能危及物聯網設備的各種潛在攻擊面，而不是等到測試安全性結束。這可能包括物理危害，例如禁用安全設備或更換芯片;本地網絡危害，即通過假冒車主打開車門;或耗電攻擊。

 

 

Independent Security Evaluators公司安全評估員Lisa Green表示，安全研究人員通過人工查看每個環節非常重要，以免錯過評估每個可能的攻擊點。

 

最引人注目的物聯網攻擊事例之一是Mirai，它看到對手攻擊物聯網設備(如安全攝像頭)，形成迄今為止最大的僵尸網絡之一。它利用物聯網設備始終連接的特性來發起破壞活動。美國聯邦調查局表示，這是兩名黑客采用一個小型的Minecraft游戲服務發起攻擊的，但它是如此成功，以至于推出點擊欺詐即服務活動，并中斷了一些世界上最具彈性的知名網站(如Netflix、Twitter和Reddit)的流量。

 

物聯網設備制造商可以從這次攻擊中吸取的最重要的教訓之一是，即使有計劃良好的安全措施，其后門仍可能招來網絡攻擊者，這一點至關重要。在Mirai的案例中，許多物聯網設備從未打過補丁。例如，黑客采用一個名為BrickerBot的Mirai代碼進行自動修改，以永久禁用受損的物聯網設備。因此，物聯網設備制造商從未有機會更新他們的設備并保持他們良好的品牌形象。

 

向現場設備發送安全補丁并不像使用定義良好的身份和訪問管理基礎設施在AWS云平臺上修補Web服務器那么簡單。物聯網設備制造商需要確保通過加密更新發送補丁，以降低黑客發送自己的虛假補丁的風險。

 

此外，設備制造商必須確保有方法遠程輕松地進行通信和更新設備。Kubicek說，有許多可以與物聯網一起使用的DevOps工具，例如SaltStack。這些工具可以輕松地在遠程物聯網設備上快速應用關鍵補丁，并確保每臺設備都得到更新。

 

物聯網制造商需要有一種功能性的方式來更新所有已部署的設備，并且安全更新需要迅速實施，以最大限度地減少客戶易受攻擊的時間。從構建到設計階段的整個過程中，安全流程應該在設備上市發布期間以及發布后提供支持。“在發布新的更新或發現新的威脅載體后，可以在所有這些階段引入安全團隊以不斷測試設備的安全性。”Green說。

 

 

一旦物聯網設備準備就緒，讓一個可信任的物聯網設備的黑客團隊進行攻擊測試可能是一個好主意。這些專家將能夠發現內部開發團隊和自動安全測試工具可能遺漏的安全漏洞。

 

讓這些黑客使用白盒滲透測試方法來修補實際設備及其軟件的內部工作方式也是一個好主意。這將使他們更容易發現使用黑盒測試可能難以識別的缺陷，在黑盒測試中，黑客只能以消費者或黑客可能看到的方式訪問設備。

 

Green說，“然而這些方法需要一定程度的信任。無論如何，讓安全研究人員通過并人工查看每個部分是至關重要的，以免錯過評估每個可能的攻擊點。”

 

 

對于工業企業來說，物聯網設備通常是加固的現場設備，傳感器提供有限的物理訪問。幾十年來，這些設備以監控和數據采集或分布式控制系統(通常使用未加密的工業協議)的形式具有某種程度的數據訪問。

 

“工業物聯網現在保證這些傳感器值可以輸入到分析模型中，無論是本地邊緣計算設備中還是云計算模型中，經常以更高的頻率返回基于流的業務見解。”工業分析服務商Arundo Analytics公司首席技術官Jeff Jensen說。因此，這些實例中的核心安全部件涉及大量未加密的數據離開本地站點，因此需要使用虛擬專用網絡、安全通信協議或使用校驗和的應用程序級加密。

 

Jensen說，“在某些情況下，新安裝的設備使用網格工作、藍牙或其他無線通信方法將數據從設備移動到網關。其中一些協議本身并不安全，因此必須實現應用程序級加密，并由管理員進行適當地管理。在這種情況下，許多人面臨的一個關鍵問題是物聯網設備黑客進行的真實風險評估，以及它是災難性的還是相對較低的風險。”