在2016年10月21日發生的一次物聯網安全事件導致全球大量互聯網中斷一天。其罪魁禍首是臭名昭著的僵尸網絡(惡意流量雪崩式攻擊或分布式拒絕服務攻擊)，其名稱為Mirai。該惡意軟件發現數以萬計的消費級物聯網設備仍在使用默認密碼運行，而Mirai獲得了這些密碼。

一旦控制了這些物聯網設備，Mirai就會將它們作為機器人大軍進行網絡攻擊。而這一網絡攻擊背后的企業主要以頂級域名系統(DNS)提供商為目標，顯然是為了破壞Playstation網絡。最終導致Reddit、Netflix和Twitter無法使用長達幾個小時的時間。

同樣的網絡攻擊行為可以讓黑客自由支配商業物聯網系統，從被盜數據到勒索軟件甚至更糟，都可能造成災難性影響。安全服務商卡巴斯基公司表示，從2020年上半年到2021年，物聯網設備上的網絡攻擊事件增加了一倍多。

但也有好消息：依賴物聯網的60%以上的企業并非無力保護自己。自從2016年以來，物聯網的網絡安全有了很大的進步。只要企業確保選擇了擁有最先進防御的物聯網合作伙伴，就基本可以保證安全。

如今，許多物聯網系統在自助服務平臺上運行，所有業務用戶都可以構建定制的物聯網應用程序，而無需從頭開始設計。那么，面對安全威脅，如何決定哪個平臺最能讓自己安心?

向供應商詢問以下這五個物聯網安全問題。他們的答案將揭示他們是否遵循當今物聯網安全的最佳實踐，或者您是否應該繼續搜索。

向物聯網平臺提供商提出的5個物聯網安全問題

企業不能將傳統的IT安全策略應用于物聯網系統。每個設備都是潛在的入侵媒介，這種新范式需要新的網絡防御方法。要評估物聯網平臺的安全級別，需要與供應商進行面談，并從以下五個物聯網安全問題開始：

(1)整體安全框架是什么?

網絡安全是一個強大的領域，具有建立可靠防御的既定策略。企業的物聯網平臺提供商應該能夠描述這些策略。歐盟網絡和信息安全局建議采用縱深防御方法，其中多層防御可以阻止攻擊;一個安全邊界失效的地方，這個概念成立，另一個安全邊界將繼續存在。

縱深防御緊密地映射到物聯網系統，企業和其物聯網平臺提供商必須在其中維護至少三個級別的安全性：

●保護設備本身，包括硬件、軟件和網絡連接。

●保護物聯網云平臺，包括管理層和數據訪問。

●遵守數據隱私法，包括(取決于人們所在的位置)通用數據保護條例(GDPR)、當地法律和行業認證。

為了提供這些多層次的保護，物聯網平臺開發人員可以應用ISO27001等認證標準或遵循DevSecOps(開發、安全和運營)計劃，該計劃在開發過程的每一步都集成了安全性。他們可能采用多種方法。

與此同時，微軟公司建議物聯網安全的零信任原則。這個防御框架假定所有請求都是有罪的，直到被證明是無辜的;它需要在提供訪問權限之前進行嚴格的驗證。

需要注意的是，深度防御和零信任并不相互排斥。物聯網平臺中的強大安全性可能包括兩者的元素。事實上，第三種策略(設計安全)涉及同時集成多個安全策略，將安全視為整個系統及其生命周期的整體要求。

(2)如何在平臺中啟用安全功能?

這是一個棘手的問題。在理想情況下，應默認啟用安全功能。同樣，在完全確定需要它們之前，應禁用打開潛在漏洞的設備功能。

在相關說明中，默認密碼最初應該是健壯的。企業還應該在部署之前更改密碼和用戶名，這是2016年遭遇Mirai攻擊的一個仍然相關的教訓。

(3)如何防止設備級別的安全漏洞?

物聯網平臺的設備安全性可能很棘手;畢竟，他們并不總是控制用戶使用的設備。與提供預集成設備庫以供選擇的提供商合作，并詢問他們是否已驗證設備固件中的安全協議。

一個關鍵的最佳實踐是僅使用提供基于硬件的不可變信任根的設備。這是一個驗證真實基本輸入/輸出系統(BIOS)的芯片，BIOS是啟動系統的固件。如果沒有這一驗證，黑客可能會在損壞的BIOS上啟動設備，這讓他們可以完全控制。

(4)平臺如何控制用戶訪問?

不要讓惡意行為者進入系統。物聯網平臺中的用戶控制主要是身份驗證和授權問題，但并非所有身份驗證協議都同樣強大。為了與零信任安全保持一致，平臺應單獨保護系統資源。

最常見的資源授權協議稱為OAuth2;選擇包含OAuth2甚至更好的資源單點登錄(SSO)授權的平臺提供商，具體取決于分配的用戶角色。說到角色，在企業的物聯網平臺中尋找基于角色的訪問控制(RBAC)。這使企業能夠為物聯網項目中涉及的每個人(從管理員到內部用戶再到第三方合作伙伴)授予不同級別的訪問權限。

(5)如何處理軟件和固件更新?

企業越早更新應用程序，其整個系統就會越安全。但是在一個擁有數十個(或數百個)設備的物聯網系統中，僅使用人工方法是無法保持最新??狀態的。

與其相反，尋找支持無線(OTA)更新的物聯網系統，將新版本的軟件和固件推送到云平臺?？赡苓€會詢問更新服務器的安全性、設備連接以及更新包的加密方法。

克服物聯網平臺中的網絡安全挑戰

極其豐富的數據收集、前所未有的自動化、實時數據流等物聯網的承諾，使這項技術成為競爭的關鍵。創造這些好處的相同特征導致了一系列新的安全挑戰。

大多數物聯網設備在物理尺寸和計算能力方面都設計得盡可能緊湊。這并不總是為安全功能留下空間。更糟糕的是，物聯網市場尚未確定所有利益相關者的標準化安全協議。例如，設備制造商可能會采用完全不同的方法進行身份驗證。平臺提供商、系統集成商和運營商本身可能并不都在同一頁面上。

選擇一個單一的自助物聯網平臺可以消除這種碎片化。這些平臺使整體安全設計策略相對簡單。但在與任何平臺提供商合作之前，請務必了解他們如何處理安全性。上面列出的物聯網安全問題是一個很好的起點。