物聯網安全

開始正文前，讓我們做一個小小的思考——你每天會和哪些聯網設備打交道？

半刻無法離身的手機、工作必需品電腦、公司辦公室的機房、地鐵出入口的閘機、機場塔臺的雷達、晚間消遣的電視機頂盒、樓下便利店的收銀系統……

是的，正如你感受的那樣，我們正在快速步入萬物互聯的時代！這給我們帶來了無盡的便利，但風險也與之俱來。

據高德納咨詢公司（Gartner）的數據顯示，到 2020 年，互聯設備（不含個人電腦、智能手機和平板電腦）總數將達260億臺，物聯網產品和服務供應商將創造超3000億美元的增量收入。

在諸多行業，物聯網正不斷催生創新模式，為商業世界帶來巨大價值。例如，特斯拉的工程師僅僅通過軟件更新，就可以修復3萬輛汽車的設備故障，避免汽車召回所產生的高昂成本。

然而另一方面，在制造、醫療、零售、交通等領域，智能互聯設備控制著全球大部分核心基礎設施，一旦出現安全漏洞，后果不堪設想。

要規避和預防安全風險，首先我們需要詳細了解各行業的安全要求以及應對難點。本文中，小A以工業控制系統、互聯汽車、無人機以及零售四個領域為例，列舉物聯網帶來的安全挑戰和應對建議。

工業控制系統

維護代價高

在工業制造領域，許多工業控制系統都通過軟件進行高度復雜和精確的控制，這就為網絡攻擊者提供了可攻擊目標。攻擊者可通過修改控制設置或傳感器數值，擾亂生產或嚴重破壞設備，嚴重時可導致機械損毀或造成人員傷亡。

大型工業控制系統往往規模巨大，安裝此類系統代價高昂，其使用年限通常高達20年甚至更久。當安全人員發現了嚴重漏洞，更新生產系統通常會影響生產；如果技術人員提前多月安排維護窗口用于更新系統，以避免系統運行中斷，則可能導致響應緩慢。

互聯汽車

需要實時補丁

汽車行業長期以來一直使用電子控制單元，通過傳感器和執行器監控并控制引擎性能和廢氣排放，同時通過牽引力控制、防抱死制動、電子穩定控制、預緊式安全帶和安全氣囊的軟件控制系統改善汽車安全。

目前，車載娛樂系統已經實現了和移動設備無縫整合，連接方案和控制系統已成為現代汽車的一部分，制造商日益認識到需要保障這些系統的安全性，尤其是對控制汽車實際運行的設備無線更新。

需要警惕的是，由于每天都有新的軟件漏洞出現，企業需要具備更優異的物聯網響應方式。與傳統的IT設備或消費者技術不同，許多物聯網設備并沒有用于下載和安裝安全更新的交互界面，在消費者領域，這種情況更加嚴重。

無人機

飛行器還是武器

越來越多的機構計劃利用無人飛行器或無人機，收集難以接近或高度危險區域的數據。然而，為無人機配備高分辨率相機和秘密放飛無人機的行為，也帶來了隱私方面的擔憂。

遠距離讀取射頻識別標簽或低功耗藍牙信標，足以讓使用者對地點或個人進行定位，并通過搭載監視器、攝像頭等設備，“監視”個人行為和數據。同時，無人機越來越強的負載能力也帶來了新的安全威脅——如果載有炸藥或槍支，商用無人機也可能變成攻擊工具。

此外，無人機的“散養模式”也對民航造成了不小的干擾。2017年以來，無人機擾航事件僅在西南地區就發生了十多起。

4月21日，成都雙流國際機場就遭遇4架“黑飛”無人機干擾，導致58個航班備降外地，4架飛機返航，逾萬名旅客滯留機場。

互聯零售

數據泄露風險

在零售領域，物聯網為企業帶來了新的價值增長點。云計算的出現使得“平臺即服務”和“軟件即服務”等構想成為現實；物聯網則使得企業與供應商和消費者的關系日益緊密。

這一方面幫助公司更深入地了解其客戶和消費者行為；但另一方面，各實體機構可以分析或者濫用消費者的消費行為信息、地址、甚至生物識別信息。

點擊大圖，了解高級物聯網架構下，攻擊者攻擊物聯網各部分的方式

為了安全地運用新興的物聯網技術，數字企業需要正確地認知周遭環境并自動對變化作出反應。

? 打造信任基礎

在系統的初始配置階段，設計師應內置運行控件，以驗證所有部件的行為都遵循預期運行規范；設計活動應包括對系統威脅和風險狀況的全面分析；針對極有可能導致嚴重后果的威脅，企業還應改善相應的工程設計流程，同時制定應急計劃。

? 應用全新思維

企業需要不斷監控物聯網的運行和安全狀況，并設計出能修復故障的解決方案，側重于增強系統的適應能力。

? 創建威脅模型

物聯網會催生新的商業模式，為了提高安全程序的成效，確定業務目標和安全運行之間的聯系十分必要。企業應量身定制威脅模型，對潛在的物聯網安全威脅排序，并識別傳統控制方法無法應對的盲點。

? 建立經驗儲備

盡管物聯網系統和應用程序與移動和信息物理系統平臺有所關聯，但兩者并不完全相同。即便如此，企業還是應從這些物聯網先驅者們遇到過的困難和教訓中汲取經驗。

? 樹立并使用新標準

企業應從其他合作企業處了解新標準，甚至應考慮加入標準團體和小組，以適應如今技術創新日新月異的世界。比如在收集數據時，為數據集創建訪問和授權權限。在日常流程中，持續教育系統用戶，讓他們了解日益復雜的網絡欺詐和社會工程攻擊。

當然，在商業世界，沒有絕對的安全。但企業和用戶需要保持警惕，對不同領域中的端到端安全擔負起最終責任，才能共同捍衛物聯網世界的和平。

此文改編自埃森哲《展望》文章《物聯網時代更需要安全護航》