胡浩
物联网的日益普及给人们带来了切实的益处和诸多便利,但我们同样也不能忽略伴随着物联网落地应用而来的各种安全风险。
物联网已然走入了人们的日常生活,成为当前业务洽谈中时常被提起的高频词汇。未来几年,物联网市场规模预计将出现快速增长。IDC发布的数据显示,2019年,全球在物联网软硬件方面的支出为7260亿美元,预计到2023年将增长至1.1万亿美元。在中国,“十三五”以来,物联网市场也稳步增长。根据赛迪顾问发布的《2019-2021年中国物联网市场预测与展望数据》,预计未来三年,中国物联网市场规模将保持20%以上的增长速度。
物联网的日益普及给人们带来了切实的益处和诸多便利,但我们同样也不能忽略伴随着物联网落地应用而来的各种安全风险。
物联网设备很智能,但也存在漏洞,许多物联网设备都缺乏抵御黑客攻击的必要“安全堤坝”。这些漏洞让物联网设备很容易遭受恶意攻击,可能引发严重的后果。比如,猖獗一时的“Mirai僵尸网络”曾发动了规模巨大的DDoS攻击,让包括Twitter和CNN在內的许多网站都陷入了瘫痪。尽管这样重大的网络安全事件并不是每天都在上演,但它们却给全行业一再敲响了警钟,让有意采用物联网技术的企业谨慎评估从一开始就构建安全体系的重要性。
物联网设备支出vs回报,永恒的博弈
从采集数据到进行数据分析和价值挖掘,进而提高运营效率和客户体验,使用物联网设备简化业务运营所带来的优势不言而喻。它在无形中推动了互联设备的变革。但是,物联网设备存在显而易见的缺陷,也就是安全漏洞,这对各种规模的企业来说,都意味着重大的安全隐患。在微软的调研中,几乎所有的受访者(97%)都表示,在部署物联网时有安全方面的担忧,但公司仍然在未采取必要安全举措的前提下采用了该技术。
出现这种情况的原因很简单,企业急于拥抱物联网设备带来的机遇和诸多益处,却并未充分考虑将这些设备应用到业务运营中可能产生的风险。尽管物联网安全事件日益增多,但很多企业还是没有意识到物联网安全的重要性,仍顾虑在IoT网络中构建安全体系的短期成本投入,并选择将其忽略,没有充分考虑长期的潜在回报。
部分企业也许考虑到了物联网的安全性问题,但也只是“事后诸葛亮”,它们在网络攻击事件发生之后,才选择亡羊补牢,为其IoT网络构筑安全“防火墙”。据Trend Mirco(趋势科技)在2018年开展的一项调查分析显示,43%的IT高管承认,由于流程的复杂性、前期成本投入以及缺乏通用标准等因素,在部署物联网时他们并未充分考虑安全性问题。
但是,在物联网实施过程中,企业从一开始就应该注重安全性,并将其作为规划布局中的关键任务之一。企业从初始阶段在系统中加入安全设计,比在开发周期接近尾声时或者在漏洞已经出现或公开之后再采取措施,更加经济有效。
物联网安全,挑战无处不在
企业也许会发现,要确保物联网设备的安全是个不小的挑战,这点其实可以理解。物联网的迅速增长和商用普及,导致IoT市场出现碎片化困局,缺乏明确、统一的标准。而定义IoT设备的标准和架构,要通过数十项持续、不同的举措来进行,企业自然会疲于应对眼前出现的挑战。
企业还面临对物联网安全缺乏深入了解带来的挑战。物联网技术相对来说门槛较高,很多企业缺乏拥有物联网技术专长的IT高管,这也意味着很多公司内部根本没有懂得物联网专业技术和知识的人,可以评估和推行针对物联网设备的安全举措。
此外,由于过程的复杂性或者成本投入高等原因,企业可能难以部署安全补丁。许多边缘物联网设备都在低功耗的状态下运行,有些甚至是用电池或太阳能供电,这就意味着安全补丁需要满足易于无缝部署的要求,再加上成本等因素的考量,让这种情况变得更加复杂。边缘物联网设备通常成本很低,这就要求安全解决方案必须具备成本效益且尺寸灵活,才能被企业在实际部署环节采用。
实现物联网安全,究竟路在何方
那么企业如何才能应对物联网安全挑战呢?尽管安全性和成本之间很难取舍,但是对于企业而言,应该从一开始就将安全性作为标准去实行,而绝非事后才采取弥补措施。企业应当力求将安全性作为一个必不可少的过程来进行评估,而不是将其作为一款产品、一个可有可无的选项来对待;与此同时,企业需要在规划预算时优先考量安全性建设方面的投入,这样才能真正在实施IoT中获益。
物联网安全的复杂性是一大挑战,同时,拥有这方面技术专长的人才又很难获得。面对这种两难的境地,企业该如何破局?一方面,企业可以通过咨询拥有专业技术和丰富经验的合伙伙伴。另一方面,企业可以将安全软件库作为给物联网设备提供安全保障的选项之一。安全软件库在硬件安全和软件安全之间提供了一种折中的方法,允许企业利用端到端的安全解决方案对边缘设备进行重点管理。通过这种方式,企业或许能够以较低的价格,大规模地创建物联网架构,成功应对物联网部署所带来的安全风险,从而获得丰厚的回报。
“Mirai僵尸网络”等网络攻击事件暴露出了一个问题:仅仅是在物联网设备中存在的一个漏洞就能让整个企业的网络处于危险之中。随着物联网变得越来越普及,企业愈发需要采取积极的措施来保护物联网架构的安全。