物联网安全 – 谁的责任？

通常，人们被认为是安全链中最薄弱的环节，因为他们会被欺骗而泄露密码或选择容易破译的密码。这是一种误解，可能会导致一些企业主或 IT 专业人士认为物联网，鉴于其近乎完全的自动化水平，本质上是安全的。事实并非如此，因为没有什么是天生安全的。

根据IHS Markit，物联网环境是网络犯罪分子机会的迷宫，今年该迷宫的规模预计将增长 15%（同比），达到 200 亿台设备 .综上所述，全球唯一移动订阅用户总数为 49 亿（根据 GSMA ）。 Cisco 产品营销全球总监 Sanjay Khatri 表示，物联网在连接方面使 P2P 移动使用相形见绌，随后就其潜在的安全漏洞而言 物联网。

物联网价值链漫长而复杂，每一个要素都既必不可少又相互依存。链条中的每一个环节都代表着一个潜在的漏洞，就像所有其他行业一样，没有一家供应商可以覆盖所有的物联网安全漏洞。

这种支离破碎的格局意味着物联网安全需要一个村庄。

打造物联网安全村

设备制造商可以说是最明显的物联网链接链。这些公司不一定是被连接的“事物”的制造商，而是诸如通信模块和传感器等元件的专业制造商，这些元素使事物能够被连接。

确立保护事物的责任至关重要。承担技术责任的一方可能不同于最终用户认为负责的一方。但最终，面向最终用户的公司将承担责任，因为如果出现问题，他们将处于火线中。

最终用户很可能将硬件提供商视为责任方，但问题更可能存在于软件中。开发人员需要对用户访问进行身份验证进行严格的控制，物联网软件必须具有强大的欺诈检测和预防机制，以保护设备和数据。

当设备通过蜂窝、Wi-Fi、蓝牙、LPWAN 甚至卫星连接到互联网时，网络级别也存在漏洞。在蜂窝网络的情况下，已经内置了一定程度的安全性。蜂窝连接使用全球标准，例如 SIM 本身上的加密密钥和加密算法，以安全地传输和接收数据。蜂窝物联网还允许将设备数据解析到专用网络中，以将其与其他网络流量隔离。

云平台提供商还将在开发功能齐全的物联网安全环境中发挥关键作用。一些，例如 IBM、Microsoft 和 Salesforce ，将专注于保护云中连接设备生成的数据。而物联网平台将管理、监控和保护已部署设备的连接。

保护设备

设备所涉及的风险级别将根据其使用方式的不同而有所不同。身份验证、用户访问、应用程序访问、设备生命周期管理和数据加密等安全层都应被考虑以保护连接的设备。

在保护一切和支付一切费用之间通常存在成本/收益权衡，这对于使用大量设备的设备来说可能非常明显。此外，设备数据具有不同级别的敏感度。了解正在使用的设备和数量以及收集的数据类型是制定适当设备安全策略的关键第一步。

网络和数据保护

如果设备是网关，那么网络代表连接高速公路，数据通过这些高速公路传输到提供物联网服务的云应用程序。保护这条高速公路与保持设备安全一样重要——因为虽然设备可能是安全的，但任何网络上都有无数的入口点。保护网络的方法有很多，所使用的策略取决于连接类型、网络和设备使用情况。

无线连接（例如 Wi-Fi 或蜂窝网络）和固定线路连接都有自己的一套安全协议。设备数据应始终在安全的专用网络中加密和解析，而不是通过 Internet 公开发送。此外，网络身份验证允许用户验证和授权网络上的设备和网络内的应用程序。

云覆盖

物联网源于通过安全网络将设备连接到云，因此强大的云安全性的重要性怎么强调都不为过。在保护云基础设施时，组织应同时考虑数字和非数字安全实践。遵守 ISO/IEC 27001 等标准可以成为确保信息安全的整体战略的关键部分。

除了保护整体环境外，企业还必须对物联网应用程序本身进行精细控制，特别是基于角色的访问和异常检测。通过基于角色的访问，组织应该实施身份管理和访问控制列表，以确保云中的应用程序将正确的访问权限授予正确的人。异常检测确保物联网平台不仅可以检测异常或可疑行为，还可以自动修复任何异常。

物联网安全清单

物联网增长的预测是巨大的，然而，巨大的回报伴随着巨大的风险。整个价值链中的企业都需要对安全村有一个整体的看法，当然，这说起来容易做起来难。

为了帮助您专注于 IoT 安全策略，请务必：

• 评估 IoT 服务中涉及的所有实体（即网关、端点设备、家庭网络、漫游网络、服务平台）的端到端识别和身份验证
• 确保端点设备和后端服务器之间共享的所有用户数据都经过加密
• 根据当地隐私和数据保护法规存储和使用“个人”数据和受监管数据
• 利用物联网连接管理平台并建立基于规则的安全政策，以便立即对异常行为采取行动
• 采用整体的网络级安全方法

此博客的作者是 Cisco IoT 产品营销全球总监 Sanjay Khatri