物联网设备是迄今为止整个安全链中最脆弱的元素,主要原因是缺乏固件更新。
作为个人电脑和手机等成熟领域的用户,我们已经习惯于接收新版本、安全补丁等通知。这意味着我们的智能手机和笔记本电脑始终处于最新状态,并能抵御市场上出现的最新漏洞。然而,在物联网世界中,这远非常态。
大多数物联网设备一旦部署在其物理环境中,就很少进行更新,这大大增加了成为网络攻击受害者的风险。
有两个主要现实解释了为什么物联网设备没有像我们的手机和电脑那样进行更新:
- 物联网市场不成熟:我们正处于物联网的“青春期”,这使得网络安全并不是第一要务。很多开发人员和技术公司并没有在设计阶段就把安全性考虑其中,而是作为事后事项考虑。
- 管理高度异构、远程和分布式环境的复杂性:物联网概念本身是建立在分布式(事物)的存在之上的。要确保所有这些设备都能高效、可扩展地进行更新,就需要一个安全的远程管理系统。否则,需要在本地定期更新物联网设备的成本会使任何大型项目变得不可行。此外,物联网设备开发缺乏标准(法律上或事实上),使这种管理更加复杂。
如何确保物联网设备安全
没有永远的网络安全,物联网设备也不例外;因此,我们认为,确保其安全的关键在于:
- 使用以设计安全为基础的解决方案。必须从一开始就考虑网络安全,而不是作为附加功能或以后可以添加的可选功能。
- 控制设备的整个生命周期。这使得能够高效、灵活地更新所有物联网设备,并随时管理其操作。
- 获得专业支持。要确保物联网设备在任何时候都能得到适当保护,关键在于要有生成安全补丁的专业人员提供支持。而免费软件通常不涉及相关支持,这使得随时保护物联网设备变得非常昂贵或直接不可行。