物联网安全是什么？为什么如此重要？

随着日常用品变得越来越 “智能”，我们的数字足迹也在不断扩大。从手表、汽车到教室黑板和婴儿车，这些具备联网功能的设备都充当着数据传输端点，共同构成了一个被称为 “物联网” 的系统。

物联网安全的定义

物联网安全是网络安全的一个重要领域，它致力于保护基于云技术的、联网的硬件设备（即物联网设备）及其各自的网络。

尽管这些联网硬件得到了广泛应用 —— 目前全球已有 150 亿台物联网设备，预计到 2030 年这一数字将翻一番 —— 但从历史角度来看，它们往往为了便利性而牺牲了安全性。因为每增加一台设备，就会引入一个新的易受攻击的接入点，从而扩大其所属网络的受攻击面。

而物联网安全的作用就在于保护这些设备及其网络。

什么是物联网设备？

物联网设备是一种联网的物理对象，它配备了传感器、软件和计算系统，能够通过互联网传输数据。它们至少拥有一个转换器（传感器或执行器），用于从周围环境中收集信息，并通过至少一种网络接口（如蓝牙或 Wi-Fi）实现数字连接。

物联网系统全天候运行，在一个持续的反馈循环中自主地发送、接收和分析数据。

如今，声控虚拟助手、智能冰箱、虚拟健身镜和门铃摄像头都属于物联网设备的范畴。

什么是物联网安全？

物联网安全指的是一系列保护措施，旨在帮助这些联网设备抵御网络攻击。鉴于这些非标准计算设备是最近引入的，物联网安全也是网络安全领域中一个相当新的学科。

信息技术服务提供商 ProServeIT 的总裁埃里克・休格在接受 Built In 网站采访时表示，潜在的物联网攻击 “可能包括未授权访问、数据盗窃，甚至对设备的物理篡改”。

物联网安全实践包括保护、识别和监控多设备系统面临的风险、威胁和漏洞，还包括修复智能硬件链中发现的任何受损连接。物联网的互联特性意味着，一个由物联网设备和标准计算设备共享的网络，其安全性取决于最薄弱的环节。

休格补充道：“一旦单个设备被攻破，黑客就可以在网络中肆意妄为，访问并攻陷其他设备，甚至可能危及整个网络。”

为什么物联网安全很重要？

随着物联网设备的影响力不断扩大，未授权网络访问的可能性也在增加。从设计初衷来看，物联网设备并没有内置任何安全机制，而且在大多数情况下，事后安装安全软件也是不奏效的。

物联网设备可能成为黑客的接入点

虽然黑客可能并不关心你喜欢将家里的温度调得多高，但智能恒温器可能会成为他们获取敏感数据（如个人信息和机密记录）的网关，以便在暗网上出售。

网络安全公司帕洛阿尔托网络公司的一份报告显示，他们对企业和医疗机构的 120 万台物联网设备进行了扫描，发现 98% 的物联网设备流量都未加密。这种安全疏漏使公共安全和经济稳定面临更大风险。

开源物联网数据基础设施软件提供商 EMQ Technologies 的技术营销总监乔希・伊斯特本表示：“这种对连接性和功能性的重视，意味着安全功能往往被放在次要位置，这使得这些设备容易受到网络威胁。而暴露在公共互联网上，进一步放大了潜在风险。”

伊斯特本补充说，虽然物联网设备在智能家居自动化中凭借便利性占据重要地位，但每增加一个设备，就会为其基于云的网络增加一个新的接入点。当我们考虑到物联网设备正越来越多地监控我们的个人生活、企业和关键基础设施时，物联网安全的紧迫性就凸显出来了。德勤的数据显示，美国家庭平均拥有 22 台联网设备。

网络安全公司 ExtraHop 的服务主管拉法尔・洛斯说：“你不能用看待笔记本电脑的方式来看待物联网设备，尽管它们并没有那么大的不同。”

物联网设备难以管理和打补丁

物联网设备无法安装管理软件，如补丁管理或端点安全软件，而且从处理能力来看，它们与标准的 IT 设备相比也相形见绌。

洛斯说：“最重要的是，物联网设备具备普通计算机的所有复杂性以及随之而来的各种问题，但却没有大多数直接管理或与计算机交互的能力。因此，对于那些你无法用传统方式看到或管理的东西，你必须采取控制措施。”

物联网设备安全吗？

不安全。遗憾的是，物联网设备的设计并没有考虑到安全性。它们始终处于运行状态，允许全天候远程访问，甚至可能在出厂时就预装了恶意软件。

如何保障物联网设备的安全？

由于物联网设备没有内置适当的安全机制，用户必须采取积极、有意识的安全措施。以下是专家们提供的一些建议：

1. 记录每台设备的信息。物联网安全的第一步是识别网络中存在的物联网设备。物联网设备拆箱后可能会自动连接到用户的网络，但这些设备往往不会被常规的端点和安全扫描发现。通过手动查找设备地址或使用专门的物联网监控工具获得设备可见性后，用户就可以更好地管理整个网络中的物联网设备。

2. 对设备进行分段。分段是在设备层面将网络划分为不同部分的过程，这样做既可以提高带宽性能，也可以加强安全性。设备只能与同一分段中的其他设备 “通信”，而其他设备则被隔离在各自的子网中。例如，用户可能希望将所有物联网设备集中到一个子网中，与存储私人敏感数据的服务器分开。

这种安全措施允许所有设备在共享网络上运行，同时在发生网络攻击时隔离受感染的设备或网络。

如果这还不够，美国联邦调查局（FBI）建议完全使用第二个网络。

3. 实施零信任架构。零信任的物联网安全方法基于网络时刻面临威胁这一假设。所有用户都必须经过 “认证、授权和持续验证”，默认拒绝任何人的访问 —— 即使是那些连接到授权网络的用户。获得访问权限后，用户也只能访问与其角色相关的数据和应用程序功能。

4. 限制网络端点。你拥有的物联网设备数量可能比你意识到的要多。因此，在购买带有应用程序增强功能的产品之前，可以考虑其不会收集数据或不会对网络安全构成潜在威胁的非智能替代品。

5. 定期监控和扫描通信渠道。密切关注物联网设备是物联网安全的最佳实践。幸运的是，有各种各样的监控和管理工具可供选择。

6. 更新软件。软件更新可以修复漏洞、应用安全补丁并优化设备的整体功能。这也意味着黑客现在可以利用软件旧版本已公布的开源漏洞。如果可能，强烈建议启用物联网安全相关软件或固件的自动更新功能。

7. 更改默认密码。物联网设备出厂时都带有公开的默认凭证，很多用户都不会想着去更改。有时候，一次成功的入侵可能只需要一个简单的网络搜索。花时间创建强大的自定义密码，尽可能使用多因素认证，避免使用薄弱、易被猜到或硬编码的密码，以抵御网络犯罪分子的攻击。

物联网安全挑战

1. 网络隐身性。就目前而言，物联网设备只有在手动添加的情况下才会出现在网络中。这意味着它们往往会被遗漏，无法纳入安全管理范畴。无论是在家庭还是工作场所，记录物联网设备清单并指定管理员进行监控，有助于解决这一问题。

2. 规模与多样性。如今，物联网设备的数量多得看似没有上限，它们运行在 600 多个平台上，形态和功能五花八门。除了智能家居自动化领域，物联网设备还被用于优化供应链、管理零售店库存、为军事行动收集情报以及远程监控医疗领域的患者等。这种广泛的应用范围使得通用的安全策略难以奏效。

3. 用户意识。直到最近，人们才普遍意识到物联网设备可能会遭到黑客攻击。据报道，2016 年的 “Mirai 僵尸网络” 攻击事件让物联网安全进入了大众视野。在那次大规模分布式拒绝服务攻击中，病毒攻击了 60 多万台物联网设备（包括路由器、空气质量监测器和监控摄像头），导致多个主要网站瘫痪。

4. 无接口且计算能力有限。物联网设备通常是为单一用途而设计的。因此，它们往往配备基础的计算机处理单元，内存存储量极小，系统功耗低，几乎没有空间来搭载安全措施，出厂后也没有接口可以安装安全措施。

为了保护物联网设备，这一责任就落到了购买者身上，他们需要自行出资购买专门的物联网安全软件。

洛斯表示：“在我看来，物联网设备制造商确实需要更加努力，让他们的设备更易于管理，将安全性设为默认配置，并提供设备维护和保养服务。这确实是目前最大的问题。”