Zeus Kerravala 陳琳華

DigiCert最近的一項(xiàng)調(diào)查發(fā)現(xiàn)，對物聯(lián)網(wǎng)安全的投資可能會產(chǎn)生積極的重大業(yè)務(wù)影響。

物聯(lián)網(wǎng)時代已經(jīng)到來。83%的公司表示目前物聯(lián)網(wǎng)（IoT）對于業(yè)務(wù)非常重要，92%的公司表示物聯(lián)網(wǎng)將在兩年內(nèi)對公司的業(yè)務(wù)非常重要。

數(shù)據(jù)是根據(jù)DigiCert委托市場調(diào)研機(jī)構(gòu)ReRez Research對全球700家公司進(jìn)行調(diào)查后所得出的結(jié)論，目的是為了更好地了解物聯(lián)網(wǎng)和物聯(lián)網(wǎng)安全。

我一直認(rèn)為當(dāng)人們不再對某個事物大驚小怪之時就表明這個市場已經(jīng)成熟了。例如，我們在幾年前還很難在傳統(tǒng)的機(jī)器對機(jī)器行業(yè)（如制造業(yè)、石油和天然氣）之外找到的物聯(lián)網(wǎng)部署。如今，互連設(shè)備已無處不在。一個很好的例子是，我最近采訪了一名IT總監(jiān)，他帶領(lǐng)我參觀了所有的互連設(shè)備，期間一句話也沒有提到“物聯(lián)網(wǎng)”。這家公司正在嘗試著將更多的設(shè)備連接起來以改善客戶體驗(yàn)，而這一努力并沒有被視為什么了不起的工作。

物聯(lián)網(wǎng)正帶來新的安全風(fēng)險

近乎無處不在的物聯(lián)網(wǎng)確實(shí)存在安全風(fēng)險，因?yàn)樗鼈兂蔀榱撕诳凸糁械囊粋€重要威脅向量。DigiCert的調(diào)查目的是為了掌握物聯(lián)網(wǎng)的部署情況，了解安全隱患，并量化評估物聯(lián)網(wǎng)安全投資的好處。該調(diào)查重點(diǎn)關(guān)注物聯(lián)網(wǎng)最為成熟的四個垂直領(lǐng)域——工業(yè)、消費(fèi)者產(chǎn)品、醫(yī)療保健和運(yùn)輸，并對各種規(guī)模的企業(yè)進(jìn)行抽樣（中型公司標(biāo)準(zhǔn)為員工數(shù)量達(dá)到3000名）。

在調(diào)查中，當(dāng)問及這些企業(yè)想通過物聯(lián)網(wǎng)實(shí)現(xiàn)哪些目標(biāo)時，回答最多的是運(yùn)營效率、客戶體驗(yàn)、增加收入和業(yè)務(wù)敏捷性。根據(jù)我的經(jīng)驗(yàn)，在物聯(lián)網(wǎng)部署的早期階段，企業(yè)的目標(biāo)是希望通過自動化降低成本、提高效率，但他們會很快將目標(biāo)轉(zhuǎn)為客戶體驗(yàn)，并希望以此創(chuàng)造新的收入來源。

該調(diào)查還問及了企業(yè)在物聯(lián)網(wǎng)方面最關(guān)注的問題?；卮鹱疃嗟氖前踩?。這一結(jié)果并不在意料之外，因?yàn)槲锫?lián)網(wǎng)設(shè)備創(chuàng)造了新的切入點(diǎn)。

根據(jù)物聯(lián)網(wǎng)安全水平，DigiCert將用戶分為三部分。

● 頂層——問題最少且不太可能報告存在物聯(lián)網(wǎng)安全問題的企業(yè)

● 中層——在物聯(lián)網(wǎng)安全方面存在一些問題的企業(yè)

● 底層——存在大量物聯(lián)網(wǎng)安全問題的企業(yè)

為了構(gòu)建良好的分布以分析他們之間的差異，上述三個部分中的每個部分均占調(diào)查的三分之一。

底層企業(yè)面臨更多的安全挑戰(zhàn)

DigiCert對頂層和底層進(jìn)行了比較，以量化投資物聯(lián)網(wǎng)安全的好處。對于底層企業(yè)，他們發(fā)現(xiàn)具有以下特點(diǎn)：

● 與頂層企業(yè)相比，底層企業(yè)在“內(nèi)部缺乏適當(dāng)?shù)奈锫?lián)網(wǎng)安全技能”方面的比率要高出38%，這也是最嚴(yán)重一個問題。

● 存在隱私問題的比率要高出27%

● 存在可擴(kuò)展性問題的比率要高出26%

●? 存在安全問題的比率要高出17%

● 缺乏物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)的比率要高出17%

● 存在監(jiān)管問題的比率要高出13%

頂層企業(yè)較少發(fā)生安全事件

該調(diào)查對實(shí)際發(fā)生的安全事件展開了深入研究。一個有意思的數(shù)據(jù)是，只有不到三分之一的頂層企業(yè)發(fā)生過安全事件。而在底層企業(yè)中所有的企業(yè)至少都發(fā)生過一次安全事件。將兩個數(shù)據(jù)對比，我們能夠清楚地看到安全投資可產(chǎn)生有很大的回報。

這些底層企業(yè)還存在以下特點(diǎn)：

● 遭到物聯(lián)網(wǎng)拒絕服務(wù)攻擊的數(shù)量是頂層企業(yè)的六倍以上

● 物聯(lián)網(wǎng)設(shè)備遭到未經(jīng)授權(quán)訪問的數(shù)量是頂層企業(yè)的六倍以上

● 發(fā)生物聯(lián)網(wǎng)數(shù)據(jù)泄露事件數(shù)量幾乎是頂層企業(yè)的六倍

● 遭到物聯(lián)網(wǎng)惡意軟件或勒索軟件攻擊的次數(shù)是頂層企業(yè)的五倍

目前，專注于物聯(lián)網(wǎng)設(shè)備的攻擊者數(shù)量還相對較少。不過，隨著物聯(lián)網(wǎng)的增長，預(yù)計專門針對物聯(lián)網(wǎng)的攻擊在數(shù)量上也將會增加。在這一波浪潮出現(xiàn)后，底層企業(yè)可能會發(fā)現(xiàn)他們遭到攻擊的數(shù)量將出現(xiàn)大幅增加。

物聯(lián)網(wǎng)安全事件將使底層企業(yè)蒙受重大損失

該調(diào)查對過去兩年中發(fā)生的安全事件所造成的實(shí)際損失進(jìn)行了深入研究。如果說在物聯(lián)網(wǎng)安全的重要性方面有什么驚人發(fā)現(xiàn)的話，那就是我們發(fā)現(xiàn)25%的底層企業(yè)在過去兩年內(nèi)與物聯(lián)網(wǎng)安全有關(guān)的損失至少達(dá)到了3400萬美元。 對于底層企業(yè)，以下領(lǐng)域損失最為慘重：

● 財務(wù)損失（59%）

● 生產(chǎn)力下降（59%）

● 法律與合規(guī)處罰（43%）

● 名譽(yù)受損（40%）

● 股價下跌（31%）

我不希望給讀者造成頂層企業(yè)就沒有安全問題的錯誤印象，只是因?yàn)樗麄儾扇×诉m當(dāng)?shù)拇胧踩录]有給他們造成重大損失而已。

加密和完整性是頂層企業(yè)常用的最佳實(shí)踐

由于我們發(fā)現(xiàn)頂層企業(yè)比中層和底層企業(yè)有著明顯的優(yōu)勢，因此了解這些頂層企業(yè)的最佳實(shí)踐具有重要意義。

● 加密敏感數(shù)據(jù)

● 確保數(shù)據(jù)在設(shè)備之間傳輸?shù)耐暾?/p>

● 全面規(guī)劃安全措施

● 確?？赏ㄟ^無線下載（OTA）方式及時更新

● 確?；谲浖拿荑€存儲的安全

5個關(guān)鍵的物聯(lián)網(wǎng)安全最佳實(shí)踐

未來五年將有數(shù)百億臺物聯(lián)網(wǎng)設(shè)備被部署，IT領(lǐng)導(dǎo)者需要為此做好準(zhǔn)備。為了解決這個問題，DigiCert就如何在推進(jìn)物聯(lián)網(wǎng)部署的同時將安全風(fēng)險降至最低給出了一些建議：

1. 審查風(fēng)險：執(zhí)行滲透測試以評估連接設(shè)備的風(fēng)險。評估風(fēng)險并建立優(yōu)先級列表，以解決主要的安全問題，例如身份驗(yàn)證和加密。扎實(shí)的風(fēng)險評估有助于確保相互連接的部分在安全等級上沒有差距。

2. 加密所有內(nèi)容：連接設(shè)備時，所有數(shù)據(jù)無論處于靜止?fàn)顟B(tài)還是傳輸狀態(tài)都應(yīng)當(dāng)加密。讓端到端加密成為產(chǎn)品的必備功能，從而確保所有的物聯(lián)網(wǎng)端點(diǎn)上都可有這一關(guān)鍵的安全功能。

3. 每次操作都驗(yàn)證身份：檢查所有與物聯(lián)網(wǎng)設(shè)備（包括設(shè)備和用戶）的連接，確保身份驗(yàn)證方案僅允許可信任的連接。通過將身份與加密協(xié)議綁定，數(shù)字證書可實(shí)現(xiàn)無縫身份驗(yàn)證。

4. 全面落實(shí)完整性：詳細(xì)介紹設(shè)備和數(shù)據(jù)完整性的基礎(chǔ)知識（包括每次設(shè)備啟動時的安全引導(dǎo)），確保無線更新的安全，使用代碼簽名以確保設(shè)備上運(yùn)行的代碼的完整性。

5. 針對規(guī)模擴(kuò)展制定相應(yīng)戰(zhàn)略：開發(fā)一個可縮放的安全框架和體系結(jié)構(gòu)，以支持所有的物聯(lián)網(wǎng)部署。制定相應(yīng)的規(guī)劃并與可幫助自己實(shí)現(xiàn)業(yè)務(wù)目標(biāo)的第三方展開合作。