1999年，凱文·阿什頓(Kevin Ashton)創(chuàng)造了“物聯(lián)網(wǎng)”一詞。然而，直到2011年Gartner在一份報(bào)告中將其納入新興技術(shù)行列之后，物聯(lián)網(wǎng)才開(kāi)始獲得發(fā)展勢(shì)頭。從那時(shí)起，越來(lái)越多的公司開(kāi)始推進(jìn)和應(yīng)用物聯(lián)網(wǎng)。

在過(guò)去，人們把物聯(lián)網(wǎng)稱(chēng)為“嵌入式互聯(lián)網(wǎng)”，如今，物聯(lián)網(wǎng)技術(shù)已經(jīng)滲透到我們生活的方方面面。或許，2020年最重要的啟示是，很多人知道物聯(lián)網(wǎng)，但很少有人理解這項(xiàng)技術(shù)的真正含義。

在本文，您將了解什么是物聯(lián)網(wǎng)，它會(huì)給組織帶來(lái)了哪些風(fēng)險(xiǎn)，以及如何防范。

什么是物聯(lián)網(wǎng)?

物聯(lián)網(wǎng)，或者有時(shí)被稱(chēng)為機(jī)器對(duì)機(jī)器(M2M)，就是讓所有東西、機(jī)器、系統(tǒng)和交通工具(僅舉幾個(gè)例子)連接到互聯(lián)網(wǎng)上。其目的是能夠遠(yuǎn)程控制它們，監(jiān)測(cè)它們的狀態(tài)，或生成數(shù)據(jù)，以幫助我們更好地了解業(yè)務(wù)或現(xiàn)實(shí)。

目前主要有五種物聯(lián)網(wǎng)應(yīng)用類(lèi)型：

• 消費(fèi)者物聯(lián)網(wǎng)——如燈具、家用電器和老年人語(yǔ)音輔助設(shè)備。
• 商業(yè)物聯(lián)網(wǎng)——物聯(lián)網(wǎng)在零售、醫(yī)療保健和交通行業(yè)中的應(yīng)用，如智能貨架、智能起搏器、監(jiān)控系統(tǒng)和車(chē)對(duì)車(chē)通信(V2V)。
• 工業(yè)物聯(lián)網(wǎng)——包括數(shù)字控制系統(tǒng)、智能工廠、智慧農(nóng)業(yè)和工業(yè)大數(shù)據(jù)等。
• 基礎(chǔ)設(shè)施物聯(lián)網(wǎng)——通過(guò)使用基礎(chǔ)設(shè)施傳感器、管理系統(tǒng)和用戶友好型應(yīng)用，實(shí)現(xiàn)智慧城市的連接。
• 軍事物聯(lián)網(wǎng)(IoMT)——物聯(lián)網(wǎng)技術(shù)在軍事領(lǐng)域的應(yīng)用，如用于巡邏的機(jī)器人、無(wú)人機(jī)和用于作戰(zhàn)的人體可穿戴技術(shù)等。

物聯(lián)網(wǎng)(IoT)統(tǒng)計(jì)數(shù)據(jù)

物聯(lián)網(wǎng)技術(shù)使用戶、系統(tǒng)和設(shè)備能夠連接到廣泛的網(wǎng)絡(luò)，從而擴(kuò)展物理和數(shù)字之間的連接。隨著越來(lái)越多的企業(yè)和政府將數(shù)字化轉(zhuǎn)型作為優(yōu)先事項(xiàng)，物聯(lián)網(wǎng)技術(shù)的采用率呈指數(shù)級(jí)增長(zhǎng)。以下統(tǒng)計(jì)數(shù)據(jù)顯示了物聯(lián)網(wǎng)技術(shù)的持續(xù)滲透。

全球安裝了多少臺(tái)物聯(lián)網(wǎng)設(shè)備：

• 2018年有70億臺(tái)物聯(lián)網(wǎng)設(shè)備
• 2019年，活躍的物聯(lián)網(wǎng)設(shè)備數(shù)量達(dá)到266.6億臺(tái)
• 每秒鐘有127臺(tái)新的物聯(lián)網(wǎng)設(shè)備連接到網(wǎng)絡(luò)
• 2020年，專(zhuān)家估計(jì)將安裝310億臺(tái)物聯(lián)網(wǎng)設(shè)備
• 到2021年，全球?qū)惭b350億臺(tái)物聯(lián)網(wǎng)設(shè)備
• 到2025年，將有超過(guò)750億臺(tái)物聯(lián)網(wǎng)設(shè)備接入網(wǎng)絡(luò)

物聯(lián)網(wǎng)市場(chǎng)的收入：

• 2016年，全球物聯(lián)網(wǎng)支出為7370億美元
• 2018年，北美物聯(lián)網(wǎng)市場(chǎng)創(chuàng)造了839億美元的收入
• 2020年，全球物聯(lián)網(wǎng)支出將達(dá)到1.29萬(wàn)億美元
• 到2021年，工業(yè)物聯(lián)網(wǎng)市場(chǎng)規(guī)模將達(dá)到1240億美元
• 到2024年，全球物聯(lián)網(wǎng)醫(yī)療市場(chǎng)將達(dá)到140億美元
• 到2026年，專(zhuān)家估計(jì)物聯(lián)網(wǎng)設(shè)備市場(chǎng)將達(dá)到1.1萬(wàn)億美元

2020年物聯(lián)網(wǎng)采用預(yù)測(cè)：

• 93%的企業(yè)將采用物聯(lián)網(wǎng)技術(shù)
• 80%的工業(yè)制造公司將采用物聯(lián)網(wǎng)技術(shù)
• 90%的汽車(chē)將通過(guò)物聯(lián)網(wǎng)技術(shù)連接到網(wǎng)絡(luò)
• 將安裝35億個(gè)移動(dòng)物聯(lián)網(wǎng)連接

需要警惕的10大物聯(lián)網(wǎng)風(fēng)險(xiǎn)

根據(jù)2018年開(kāi)放式Web應(yīng)用程序安全項(xiàng)目(OWASP)IoT Top 10，以下是10大物聯(lián)網(wǎng)漏洞：

(1) 弱密碼、可猜密碼或硬編碼密碼，如短密碼、簡(jiǎn)單密碼和可公開(kāi)獲取的密碼。

(2) 不安全或不需要的網(wǎng)絡(luò)服務(wù)，安裝在設(shè)備上，可能會(huì)損害信息的機(jī)密性，完整性/真實(shí)性或可用性，或允許未經(jīng)授權(quán)的遠(yuǎn)程控制。

(3) 不安全的生態(tài)系統(tǒng)接口，設(shè)備外生態(tài)系統(tǒng)中不安全的Web、后端API、云或移動(dòng)接口，導(dǎo)致設(shè)備或相關(guān)組件遭攻陷。

(4) 缺乏安全更新機(jī)制，缺乏安全更新設(shè)備的能力，包括：缺少對(duì)設(shè)備的固件驗(yàn)證、缺乏安全交付(傳輸中未加密)、缺乏防回滾機(jī)制、缺少因更新而導(dǎo)致的安全更改通知。

(5) 使用不安全或過(guò)時(shí)的組件，使用已遭棄用的或不安全的、導(dǎo)致設(shè)備遭攻陷的軟件組件/庫(kù)，包括操作系統(tǒng)平臺(tái)的不安全定制以及使用來(lái)自受損供應(yīng)鏈的第三方軟件或硬件組件。

(6) 隱私保護(hù)不充分，無(wú)法保護(hù)存儲(chǔ)在設(shè)備和生態(tài)系統(tǒng)上的私人信息。

(7) 不安全的數(shù)據(jù)傳輸和存儲(chǔ)，例如在數(shù)據(jù)傳輸過(guò)程中缺乏訪問(wèn)控制和加密。

(8) 缺乏設(shè)備管理，生產(chǎn)過(guò)程中的設(shè)備缺乏安全支持，導(dǎo)致安全支持較差。

(9) 不安全的默認(rèn)設(shè)置，設(shè)備或系統(tǒng)附帶不安全的默認(rèn)設(shè)置，或缺乏通過(guò)限制操作員修改配置來(lái)使系統(tǒng)更安全的能力。

(10) 缺乏物理加固措施，缺乏物理加固措施，導(dǎo)致潛在攻擊者能夠獲取敏感信息以便后續(xù)進(jìn)行遠(yuǎn)程攻擊或?qū)υO(shè)備進(jìn)行本地控制。

這個(gè)列表將在2020年更新，所以請(qǐng)關(guān)注OWASP網(wǎng)站。

保護(hù)網(wǎng)絡(luò)免受物聯(lián)網(wǎng)影響的3種方法

(1) 端點(diǎn)監(jiān)控

物聯(lián)網(wǎng)組件使安全邊界復(fù)雜化。連接到網(wǎng)絡(luò)的物聯(lián)網(wǎng)端點(diǎn)越多，由此帶來(lái)的攻擊面也就越廣泛。您可以利用端點(diǎn)監(jiān)控和響應(yīng)(EDR)來(lái)保護(hù)您的網(wǎng)絡(luò)。EDR工具監(jiān)控端點(diǎn)，主動(dòng)查找威脅，在安全事件期間發(fā)送警報(bào)并及時(shí)做出響應(yīng)。

(2) 掃描設(shè)備漏洞

為防止物聯(lián)網(wǎng)設(shè)備將漏洞引入網(wǎng)絡(luò)，請(qǐng)?jiān)趩⒂眠B接之前掃描設(shè)備。持續(xù)對(duì)設(shè)備和系統(tǒng)執(zhí)行漏洞掃描可以確保網(wǎng)絡(luò)及其組件的持續(xù)健康。

(3) 創(chuàng)建物聯(lián)網(wǎng)專(zhuān)用網(wǎng)絡(luò)

為確保網(wǎng)絡(luò)安全，請(qǐng)考慮將其與物聯(lián)網(wǎng)組件隔離開(kāi)來(lái)。您可以通過(guò)創(chuàng)建物聯(lián)網(wǎng)專(zhuān)用網(wǎng)絡(luò)來(lái)做到這一點(diǎn)。該網(wǎng)絡(luò)可以訪問(wèn)互聯(lián)網(wǎng)，但不能訪問(wèn)公司網(wǎng)絡(luò)。

總結(jié)

物聯(lián)網(wǎng)設(shè)備將嵌入到我們生活的方方面面，從家用電器到醫(yī)療設(shè)備、運(yùn)輸技術(shù)、工業(yè)網(wǎng)絡(luò)和軍事武器等等。隨著越來(lái)越多的行業(yè)進(jìn)行數(shù)字化轉(zhuǎn)型，將會(huì)安裝更多物聯(lián)網(wǎng)設(shè)備并將其連接到網(wǎng)絡(luò)。

無(wú)論您是負(fù)責(zé)網(wǎng)絡(luò)安全還是個(gè)人設(shè)備安全，都應(yīng)該認(rèn)真對(duì)待物聯(lián)網(wǎng)安全，因?yàn)楹诳涂梢暂p松利用物聯(lián)網(wǎng)設(shè)備。希望本文能幫助您更好地了解物聯(lián)網(wǎng)技術(shù)，以及如何防范物聯(lián)網(wǎng)漏洞。