我今天收到了一封安全攝像頭供應商的電子郵件。其產品的主要賣點是 “您可以在任何地方、任何設備、任何時間訪問您的視頻”。換句話說，“我們將您的數據存儲在云中”。只要快速瀏覽一下它的網站，就會發現沒有第三方審計或真正安全框架的證據。相反，有一大堆空洞的陳述，比如，“我們注意保護客戶數據的隱私。”

[[240115]]

不用說，我肯定不會使用它們。然而，這揭示了困擾整個物聯網產業的一個重大問題：您如何管理和充分保護所有這些設備?集中式門戶網站已經成為首選解決方案，使客戶可以輕松地插入設備，在門戶中注冊并從世界任何地方訪問設備。

不幸的是，這種便利是有代價的。如果沒有適當的安全控制，黑客可以像最終用戶一樣從任何地方訪問這些設備。黑客不僅可以訪問和利用個人數據(例如由上述供應商存儲的長達120天視頻)，這些設備還可以很容易地擴展以幫助有針對性的攻擊，包括分布式拒絕服務攻擊到加密貨幣挖掘。鑒于大多數設備運行Linux，它們特別容易在某些任務中使用，例如Mirai惡意軟件。

盡管存在明顯風險，但大多數物聯網供應商都是事后才想到安全性。在使用門戶網站進行設備管理時，組織必須考慮許多最佳實踐，包括密碼恢復和帳戶鎖定程序。但是物聯網的安全問題遠遠超出了門戶網站。有時，它會感覺像是在雷區航行。我將其縮小到了物聯網供應商今天面臨的五大安全挑戰：

1. 硬件安全，包括默認設置和網絡服務;
2. 云門戶安全性，以避免SQL注入和跨站點腳本編寫等漏洞;
3. 保護設備到云的數據流量;
4. API安全性;
5. 建立和維護將客戶數據存儲在云中的適當控制。

不幸的是，這些問題沒有簡單的解決辦法。與具有互聯網存在的任何其他產品或平臺一樣，安全性需要從一開始就被納入管理和開發過程——一旦產品或平臺建立起來，就很難解決。適當的安全性還需要各級業務部門的承諾，而不僅僅是在開發級別。因此，強烈建議采用COSO或NIST這樣的安全框架，并利用第三方審核員來驗證是否確實遵循了控制措施。