信息技術在演進中，而安全未能保持同步。當從汽車到工業控制系統到冰箱的所有事物互聯起來，它們發送著或接收著來自移動應用與云服務的數據，計算機技術的應用在我們的日常生活中變得更為普遍。我們需要整體安全方法來跟上成長中的物聯網(IoT)。

[[121777]]

盡管一次針對智能調溫器的攻擊似乎微不足道，但涉及7千多萬客戶信息泄露的Target數據泄露事件，正是由于公司門店的加熱與通風管理控制系統安全性較差所致。而其他引人注目的物聯網攻擊也已浮出水面，從Carna嵌入式設備僵尸網絡與TRENDnet網絡攝像頭攻擊代碼，到Linux.Darlloz蠕蟲，以及由Proofpoint發現的Thingsbot攻擊。Proofpoint是一家安全即服務(SaaS)提供商。

安全缺失

物聯網設備的多樣性急劇增加攻擊代碼及惡意軟件的攻擊面。HP安全研究的一份報告提供了10大消費者設備名單，并發現了數量驚人的漏洞(未進行傳輸加密、不安全的Web界面、授權與軟件防護問題)及隱私問題。

糟糕的物聯網安全主要由兩個問題導致：

· 新設備搶占市場意味著其設計階段未包含安全、或安全考慮存在嚴重局限性，或糟糕的實現。

· 制造或運輸等領域的舊有嵌入式系統，其開發者沒有考慮安全控制，因為這些系統最初是與IP網絡隔離的且采取了氣隙安全措施。隨著工業控制系統日益網絡化以及可遠程管理，這些物理隔離正在快速消失。

HP研究表明，即使是已經教育了20多年的基本安全原則，如使用強密碼，也沒有用于產品開發周期中。為改進物聯網安全，我們可以做什么?

新的安全模型和標準對物聯網防護至為關鍵。我們現有PC及智能手機的安全模型不適用物聯網設備。大多數物聯網設備處理和存儲能力有限。工業控制系統通常安裝在關鍵的運營環境中。許多”智能”產品在消費者手中落入”安裝即忘記”的擱置狀態。我們現有的定期更新安全補丁、安裝和更新防病毒軟件以及配置主機防火墻等安全模型，對這些類型的物聯網設備而言都不可行。

除了新的安全模型，新的標準對于確保物聯網設備的安全性及互操作性也至關重要。消費者物聯網市場監管松散并且缺乏安保與安全標準。諸如醫藥、制造、汽車以及運輸等其他市場已有的安保與安全標準都必須更新，將物聯網設備補充進去。有幾個小組正在探索物聯網標準，包括工業互聯網聯盟、Thread、AllJoyn，以及開放互聯聯盟。開放互連聯盟由Broadcom、戴爾、英特爾和三星等企業創建于7月。未來哪項標準將占到上風且最為廣泛使用將是有趣的話題。

物聯網安全措施

在新的安全模型和標準出現之前，物聯網設備最低限度應實施以下安全實踐：

使用安全開發實踐。OWASP物聯網Top 10提供了良好的安全控制基線。如強認證與安全的Web界面等基本控制，原本應可以解決HP Foritfy在消費者物聯網設備中識別到的眾多安全問題。

保護數據。物聯網領域，數據是移動的而網絡邊界是模糊的。為確保隱私，必須對靜止的和傳輸過程中的數據都加以保護。

披露對個人身份信息(PII)的處理機制。廠商應該披露正收集和共享的PII，以及對它是如何進行保護的。

加密、加密還是加密。加密是物聯網安全的關鍵部件。當數據遍歷于設備間、設備與移動應用間以及移動應用間或設備與諸如云這樣的其他網絡間時，必須對之加密。此外，對設備的軟件更新也應該進行加密處理。

進行安全評估。IT安全人員應該進行他們自己的產品安全評估，檢查設備、應用及通信是否安全。

組織如何能改進物聯網安全?目前新的標準和安全模型以及安全設備尚在開發中，有這樣一些措施可供安全專家用于改進現有物聯網設備的安全：

· 風險管理以及持續監控戰略中應包括物聯網設備

· 將用于網絡與移動設備的相同安全方法充分利用于保護物聯網設備

· 為那些由防火墻保護及入侵防御系統監控的設備以及一個已劃分的網絡，創建一份資產清單

· 通過更改默認設置、創建強密碼，盡可能多的啟用端點安全

· 對新設備執行主動掃描

· 為物聯網設備創建補丁策略

使用消費者物聯網設備的員工，應該啟用可用的安全特性，如加密、更改默認設置以及啟用強密碼。

企業應該購買安全內置的產品，包括那些對數據及軟件更新進行加密的產品。我們的計算需求正在發生變化，而安全必須是主動的而非被動的。盡管某些物聯網設備比較新奇，但許多設備對人、財產和資源的安全至關重要。一旦出現缺口，生命和安全處于風險中，那就說什么都太晚了。