IoT安全问题，数字化天边的乌云

写在前面

在数字化转型的今天，很多企业已经部署了自己的智能设备、智能网关，特别是在工业产线，车联网、智能楼宇、智能园区、城市治理等等领域。你有没有想过，你的车联网被入侵，触发交通事故；你的自动化生产线被劫持，导致设备被破坏；楼宇IoT网络被hack，导致房间被盗...... 所有这些IoT安全问题，就是那数字化天边的”乌云“。

什么是IoT安全

所以，确保有IoT设备连接的网络的安全至关重要。IoT安全，包括广泛的技术、战略、协议和行动，旨在解决现代企业日益增加的物联网漏洞。

IoT安全（物联网安全）是指对联网设备或基于网络的设备采取的安全保护措施。IoT这个术语的范围非常广泛，随着技术的不断发展，这个术语的范围越来越广。从手表到智能温湿度计再到游戏终端，几乎每一种科技设备都能与互联网或其他设备在某种程度上进行交互。

IoT安全就涉及到一系列的技术、标准、战略以及工具，确保设备免遭网络攻击。但是让人啼笑皆非的是，正是因为这些设备的联网，才导致容易受到网络攻击。

IoT安全涉及的范围非常广，诸如API安全，公匙基础设施（Public Key Infrastructure, PKI）身份验证，通讯协议加密，消息数据包加密以及网络安全等方法，仅仅是现代人们用来应对源于IoT设备的脆弱而催生的日益严重的网络犯罪的一般方法和措施。

常见的IoT安全问题

设备彼此连接的方式越多，就给了不法分子更多的入侵路径。

远程入侵

与其他技术不同，IoT设备由于联网，这就让其具有特别大的被攻击面。虽然联网可被访问对于IoT设备来说非常有价值，但它也让黑客有机会与设备进行远程交互。这就是为什么网络钓鱼等黑客入侵行为特别有效的原因。IoT安全与云安全一样，为了保护资产，必须对其占用的大量的端口实施保护。

缺乏长远考虑

随着企业数字化转型的持续推进，一些行业和产品为了满足当下需求而加快了IoT设备的联网使用，特别是在汽车、工厂和医疗领域，一方面是为了降低成本、提升效率，另一方面也是为了人们在不同场景下的体验需求。这场数字革命导致了更大范围的技术依赖。

技术依赖并没有问题，但对技术的依赖可能会放大网络入侵和数据泄露的后果。令人担忧的是，这些行业现在依赖的这项技术（IoT设备）在本质上更脆弱。不仅如此，许多医疗器械公司和汽车制造公司还不准备投入更多的资金和资源来确保这些设备的安全。

这种缺乏长远考虑的行为，可能会给企业和个人造成不可挽救的损失。

资源有限

IoT安全的另一个主要问题就是许多IoT设备的资源有限，或者说资源限制。

要知道，并不是所有的IoT设备都有足够的内部计算资源去集成先进的防火墙和杀毒软件，一些设备仅仅具有连接其他设备的能力再无其他。例如，采用了蓝牙技术的IoT设备，很容易受到攻击而导致数据泄露。

在2020年，就有网络安全专家利用一个蓝牙漏洞，在不到2分钟的时间内，成功“黑进”特斯拉 Model X的系统。

如果说像特斯拉这样的具有先进技术的汽车都很容易遭受攻击，可想而知其他的在网络上裸奔的IoT设备。

如何保护IoT系统和设备

可以考虑采取下面的的方式和方法来保护我们的联网设备，特别是在其中流动的数据。

在IoT设计阶段要充分考虑安全问题

要保护企业和个人的IoT设备不被攻击，首先要在思想上引起重视。如果你根本没有考虑过这样的事情，总有一天你的IoT设备会被入侵。之所以现在没有，只是犯罪分子认为还不值得。

在默认情况下启用安全性是至关重要的网站程序安全，同时还必须引入最新的操作系统和使用有安全防护的硬件。同时，IoT开发者在开发过程中的各个阶段要关注网络安全漏洞，而不仅仅是在设计阶段。

在基本用户名/密码的基础上考虑非对称加密和数字证书

前文提到的PKI（Public Key Infrastructure）是保护客户机-服务器连接的一种很好的方法。利用非对称加密技术，可以方便地使用数字证书对私有消息和交互进行加密和解密。这些系统有助于保护用户输入到网站的明文信息，以完成私人交易。没有这个技术，电商公司将寸步难行，面临巨大风险。

网络安全

网络安全可不是一种方法，而是一种安全防护的大类。

由于网络连接的存在，IoT设备会通过联网在网络上暴露，这就给了不法分子巨大的机会通过网络入侵的方式远程控制IoT设备。IoT设备的防护，包括：

API安全

由于微服务的广泛应用，API是复杂系统的基石。这也是黑客们进行入侵系统的另一个切入点，它们伪装成正常API请求，获取目标设备信息和控制目标设备行为。所以提升API的安全性尤为必要，以保护从IoT设备发送到后端系统的数据的完整性，并确保只有授权的设备、开发人员和应用程序有权与API通信。

2021年发生了很多重量级的API攻击事件，引发了社会各界的广泛关注，例如：黑客通过API漏洞入侵了7亿多Linkedln用户的数据，并在暗网上出售这些数据；黑客攻击Parler网站的API安全漏洞，非法获得1000万用户超过60TB的数据；Clubhouse因API安全漏洞泄露了130万条用户记录。

其他的一些网络安全防护方法

除此之外，对于研发团队内部，要持续保持学习新的平台、框架、协议以及编程方法，以应对新的安全挑战，并让安全意识贯穿团队始终。

对客户而言，要让其意识到物联网系统存在的潜在危险，并提供保持安全的手段，如更新默认凭证和应用软件更新。用户也可以要求设备制造商创建安全的设备，拒绝使用不符合高安全标准的设备。

总结

IoT安全方法取决于你的特定物联网应用程序和您在物联网生态系统中的位置。从IoT设备硬件制造商到半导体公司——应该从一开始就专注于构建安全性，制造硬件防篡改，构建安全硬件，确保安全升级，提供固件更新/补丁，并执行动态测试。

对于开发者，要有安全思维，采用不同的IoT安全方案，不管是设备固件，定期升级，网络设置和数据加密等等，并其在整个过程中要加强安全意识。

（编辑：云计算网_宿迁站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!