當你部署的技術可被攻擊者用來殺人時，你最好確保其安全性。

多年來，網絡安全專家一直在強調各種聯網設備激增所帶來的威脅。

專家警告稱，IoT設備讓我們的生活變得便利，但如果不小心，IoT設備也可能終結我們。

prpl基金會是致力于下一代數據中心軟件和架構的開源聯盟，該聯盟首席安全戰略師Cesare Garlati表示：“大多數這些IoT設備連接到或者直接控制物理對象，例如電梯或供暖系統。因此數據泄露事故不僅僅會導致數據丟失以及罰款，甚至可能導致涉及人員傷亡或者死亡的物理攻擊。”

潛在嚴重危害

從智能手機到聯網攝像頭、醫療植入裝置到工業控制器，各種各樣的設備都已經被證明容易到攻擊，很多可能造成經濟和物理破壞。

現在大量攻擊者都渴望獲得這種控制我們生活、企業和經濟的能力--攻擊者希望控制我們以獲得贖金，網絡恐怖分子希望制造混亂，而國家行為者則旨在從事秘密網絡戰爭。

諾丁漢大學數字經濟學教授兼Horizon研究機構主管Derek McAuley表示，這種威脅并不擴張。“這對生命帶來巨大的威脅，這也是為什么國內外安全服務正非常關注網絡防御的原因，”他表示，“隨著技術得到更廣泛部署，網絡攻擊可能消耗大量經濟。我們曾經考慮如何保護電廠、電源線等，但如果攻擊者控制了劍橋100英里范圍內所有智能電表，這種危害就像引爆發電廠一樣。”

然而，研究人員的警告并沒有阻止企業部署IoT的步伐。IoT帶來顯著的成本和節能優勢，工業自動化、更智能的城市以及更好的健康和安全，經濟和社會因素往往會勝過安全因素。

深層安全隱患

網絡安全研究人員兼顧問John Walker表示：“我們快速部署這項技術，而沒有考慮更長期的深層安全隱患。安全人員通常是最后一個了解發生了什么的人，但其實在最開始就應該考慮安全因素。”

“在我看來，幾乎沒有或者沒有適當的技術風險評估以確保設備、代碼、數據和基礎設施得到充分保護。現在很多大型企業都存在不安全的系統和流程。”

但微軟對此仍然保持樂觀，微軟正致力于支持其客戶和合作伙伴的安全IoT部署。微軟公司國家安全官Stuart Aston稱：“不要過分夸大潛在安全風險，否則人們會認為IoT安全太難以解決。但事實并不是這樣，關鍵是了解風險并部署適當的緩解措施。”

微軟已經制定了IoT安全最佳做法清單，其中強調了各個企業必須解決IoT系統生命周期中不同的安全問題，其生命周期包括：制造和集成、軟件開發、部署和運營。

沒有通用標準

對于客戶來說，目前的問題是很難確定其選擇的所有軟件、硬件和服務合作伙伴是否正在采取必要措施來維持有效安全性。雖然國際標準化組織(ISO)和國際電工委員會(IEC)等機構正在這一領域做大量工作，但目前仍然沒有針對IoT安全的通用可證明的標準。Aston稱：“標準正在制定中，但簡短的回答是，如果你現在部署，你需要進行盡職調查。”

Synopsys公司關鍵系統安全全球總監Mike Ahmadi表示：“對于任何部署IoT設備的人來說，至關重要的是要求供應鏈提供其遵照完整的采購指南的證據，涉及特定的可測量的標準。”

“用戶需要供應商提供這樣的證據，并在內部檢查。不要相信產品供應商的話，而應該驗證他們告訴你的信息。讓他們提供證據，如果無法提供，則選擇其他供應商。”

盡管微軟的IoT安全最佳做法指南是很高的標準，但網絡安全專家稱IT部門必須密切關注技術細節。諾丁漢大學的McAuley稱系統應設計為讓設備盡可能在本地數據。

McAuley稱企業應該部署更安全的網絡身份驗證，例如使用ID管理系統來確保用戶和設備的身份，而不是依靠SSID和密碼。

企業還應該保持設備與網絡有效隔離，配置適當的防火墻規則和網絡分段。McAuley說：“在我看來，所有設備最終都可能被攻擊，所以即使它們需要與互聯網連接，它們應該只能與它們絕對需要的一兩個地方進行交互。”

他還表示當數據存儲在服務器時也應該被加密，“很多企業只會加密傳輸中的數據，這并不夠。”

Prpl基金會的Garlati補充說：“不要使用涉及云計算組件的設備，除非100%必要。”

你還應該避免使用未考慮基本網絡安全的設備，“我會試圖尋找要求多因素身份驗證來更改配置的設備，”McAuley稱，“此外，設備不應該使用默認用戶名和密碼--當用戶首次開啟設備時，應被要求設置安全的登錄憑證。”

請記住，雖然對IoT的攻擊帶來比傳統系統更大的威脅，但很多IoT安全最佳做法與我們多年來通過保護電腦和移動設備學到的最佳做法沒有什么不同。我們只需要確保這些最佳做法得到嚴格的部署。