行业新闻与博客

从支持互联网的家用电器到智能手表等可穿戴设备，联网设备在我们的日常生活中变得无处不在。虽然连接到家庭互联网系统的水壶的实用性存在争议，但毫无疑问，这些设备中的技术正在变得越来越智能。但我们应该问的问题是，这些设备在多大程度上存在安全风险？  

不安全感的代价

威胁行为者总是会找到巧妙的方法来利用新技术并利用被忽视的漏洞，而当已知 2020 年发货的 50% 的设备存在安全漏洞时，这无济于事。市场上消费物联网产品的安全水平不足，导致黑客通过婴儿监视器和网络摄像头访问网络被渗透，甚至完全接管智能汽车的控制权。

供应链在确保物联网设备从制造一直到分销的整个生命周期的安全方面发挥着不可或缺的作用。然而，由于如此多的碎片化，最大的问题是，谁该负责？说实话，每个人都必须履行自己的承诺，优先考虑供应链每个环节的安全。为了确保这种情况发生，我们需要对整个供应链进行监管，以追究组织的责任，否则，当人们不发挥自己的作用时，我们就有可能为犯罪分子留下可乘之机。

供应链攻击的一个臭名昭著的例子是，一家受感染的 IT 基础设施公司 SolarWinds 与其客户共享受感染的软件更新。随后，俄罗斯网络犯罪分子能够通过更新中的后门访问私人公司文件，从而危及数千个组织的安全，其中包括政府机构以及微软和英特尔等蓝筹公司。

由于数据在供应链中的每个环节之间交换，特别是在设备编程和测试期间，不良行为者有机会拦截和操纵设备功能或注入恶意软件。除此之外，硬件安全和软件安全之间存在显着脱节。市面上有各种硬件安全选项，但对于公司来说，利用它们是一项艰巨的任务，可能需要一个月的时间才能启动和运行。

随着量子技术的发展，恶意行为者将能够使用更强大的计算机来提高这些攻击的有效性。然而，企业可以通过采用后量子加密安全解决方案来减轻量子威胁的风险，其中加密算法利用这种新兴技术领先于攻击者。

协作对于物联网设备安全的重要性

量子技术的影响是巨大的。因此，监管机构在制定物联网安全标准和法规方面发挥着关键作用，因为它们充当制造商和消费者之间的粘合剂，鼓励他们合作。例如，NIST 一直致力于开发后量子密码学自 2016 年以来应对威胁的标准化流程。

然而，让每个人都唱同一张赞美诗可能很困难。制造商的目标是盈利，而消费者则优先考虑便利性，监管机构只是希望每个人都遵守规则。平衡这些利益可能具有挑战性，当这种平衡失去时，可能会导致攻击者可以并且愿意利用漏洞来达到自己的目的。

这就是组织更加关注物联网安全如此重要的原因。在许多情况下，假设供应链上的其他人能够解决问题，人们就会把头埋在沙子里。通过充分掌握立法和标准，组织可以更轻松地评估用于提高物联网安全性的可用技术，并且制定经过认证的指南将鼓励公司遵守公认的安全标准。

安全设计

恶意通常会利用不良的设计，但即使是由于安全控制无效而导致的数据无意泄露，也可能给消费者和供应商带来可怕的后果。因此，物联网设备和服务从一开始就设计安全性至关重要。我们必须拥抱设计安全的理念，而不是事后才想把它固定下来。

这种开发物联网设备的方法从产品设计和开发之初就将安全性放在首位。它体现了一种积极主动的心态，其中安全考虑因素是设备生命周期每个阶段（从概念化到部署）不可或缺的一部分。

可以把它想象成一层洋葱：芯片、软件和设备。为了实现安全，芯片需要经过认证，软件使用芯片的方式也必须经过认证，设备制造商必须以不破坏整体安全模型的方式实现这两层。随着技术不断进步，网络犯罪分子利用这一点来扩展他们的策略，确保物联网生命周期中每个点的最高安全水平是有效降低违规风险的唯一方法。

联网水壶的威胁可能看起来很小，但据我们所知，只需要一个薄弱的入口点就会发生违规。随着量子网络攻击的可能性即将出现，恶意行为者已经准备好利用这一点。如果我们想在打击犯罪分子的竞赛中保持领先地位，那么现在比以往任何时候都更重要的是，组织必须通过采用防量子安全措施来掌握并控制其网络。