行業新聞與博客

從支持互聯網的家用電器到智能手錶等可穿戴設備，聯網設備在我們的日常生活中變得無處不在。雖然連接到家庭互聯網系統的水壺的實用性存在爭議，但毫無疑問，這些設備中的技術正在變得越來越智能。但我們應該問的問題是，這些設備在多大程度上存在安全風險？  

不安全感的代價

威脅行為者總是會找到巧妙的方法來利用新技術並利用被忽視的漏洞，而當已知 2020 年發貨的 50% 的設備存在安全漏洞時，這無濟於事。市場上消費物聯網產品的安全水平不足，導致黑客通過嬰兒監視器和網絡攝像頭訪問網絡被滲透，甚至完全接管智能汽車的控制權。

供應鏈在確保物聯網設備從製造一直到分銷的整個生命週期的安全方面發揮着不可或缺的作用。然而，由於如此多的碎片化，最大的問題是，誰該負責？説實話，每個人都必須履行自己的承諾，優先考慮供應鏈每個環節的安全。為了確保這種情況發生，我們需要對整個供應鏈進行監管，以追究組織的責任，否則，當人們不發揮自己的作用時，我們就有可能為犯罪分子留下可乘之機。

供應鏈攻擊的一個臭名昭著的例子是，一家受感染的 IT 基礎設施公司 SolarWinds 與其客户共享受感染的軟件更新。隨後，俄羅斯網絡犯罪分子能夠通過更新中的後門訪問私人公司文件，從而危及數千個組織的安全，其中包括政府機構以及微軟和英特爾等藍籌公司。

由於數據在供應鏈中的每個環節之間交換，特別是在設備編程和測試期間，不良行為者有機會攔截和操縱設備功能或注入惡意軟件。除此之外，硬件安全和軟件安全之間存在顯着脱節。市面上有各種硬件安全選項，但對於公司來説，利用它們是一項艱鉅的任務，可能需要一個月的時間才能啓動和運行。

隨着量子技術的發展，惡意行為者將能夠使用更強大的計算機來提高這些攻擊的有效性。然而，企業可以通過採用後量子加密安全解決方案來減輕量子威脅的風險，其中加密算法利用這種新興技術領先於攻擊者。

協作對於物聯網設備安全的重要性

量子技術的影響是巨大的。因此，監管機構在制定物聯網安全標準和法規方面發揮着關鍵作用，因為它們充當製造商和消費者之間的粘合劑，鼓勵他們合作。例如，NIST 一直致力於開發後量子密碼學自 2016 年以來應對威脅的標準化流程。

然而，讓每個人都唱同一張讚美詩可能很困難。製造商的目標是盈利，而消費者則優先考慮便利性，監管機構只是希望每個人都遵守規則。平衡這些利益可能具有挑戰性，當這種平衡失去時，可能會導致攻擊者可以並且願意利用漏洞來達到自己的目的。

這就是組織更加關注物聯網安全如此重要的原因。在許多情況下，假設供應鏈上的其他人能夠解決問題，人們就會把頭埋在沙子裏。通過充分掌握立法和標準，組織可以更輕鬆地評估用於提高物聯網安全性的可用技術，並且制定經過認證的指南將鼓勵公司遵守公認的安全標準。

安全設計

惡意通常會利用不良的設計，但即使是由於安全控制無效而導致的數據無意泄露，也可能給消費者和供應商帶來可怕的後果。因此，物聯網設備和服務從一開始就設計安全性至關重要。我們必須擁抱設計安全的理念，而不是事後才想把它固定下來。

這種開發物聯網設備的方法從產品設計和開發之初就將安全性放在首位。它體現了一種積極主動的心態，其中安全考慮因素是設備生命週期每個階段（從概念化到部署）不可或缺的一部分。

可以把它想象成一層洋葱：芯片、軟件和設備。為了實現安全，芯片需要經過認證，軟件使用芯片的方式也必須經過認證，設備製造商必須以不破壞整體安全模型的方式實現這兩層。隨着技術不斷進步，網絡犯罪分子利用這一點來擴展他們的策略，確保物聯網生命週期中每個點的最高安全水平是有效降低違規風險的唯一方法。

聯網水壺的威脅可能看起來很小，但據我們所知，只需要一個薄弱的入口點就會發生違規。隨着量子網絡攻擊的可能性即將出現，惡意行為者已經準備好利用這一點。如果我們想在打擊犯罪分子的競賽中保持領先地位，那麼現在比以往任何時候都更重要的是，組織必須通過採用防量子安全措施來掌握並控制其網絡。