物联网(IoT)产业并不是“不久的将来——它已经在这里了，而且在迅速增长。的华尔街日报将物联网誉为下一次工业革命，根据思科的数据，目前有49亿台联网设备，预计到2020年将达到120亿台。这种快速增长的成熟结果是一个6万亿美元的产业。

AT&T的网络安全洞察报告调查了全球5000多家企业，发现85%的企业正在或打算部署物联网设备。然而，只有10%的受访者相信他们可以保护这些设备免受网络攻击。

当人们深入思考几乎所有设备联网的影响时，出现的一个大问题是:“我们如何保证设备的安全?”

为了进一步讨论物联网安全我们采访了Insight论文的作者Kyrio的业务发展、安全服务总监Ron Ih，以获得对当今科技领域最紧迫问题之一的专家见解……

1. 今年最重要的物联网安全趋势是什么?

作为消费者和企业采用了更多的物联网设备而且威胁持续增加，轻松且大规模地保护这些设备已成为一项艰巨的任务．今年，我们将看到更多专门用于物联网设备的专业安全工具和流程，特别是数字证书和公钥基础设施(PKI)的使用，以实现更安全的登录过程。

“‘接入’是将新设备连接并添加到网络和本地物联网生态系统的过程。登录包括新设备的身份验证、授权和问责过程。”- - -安全物联网的愿景

数字证书由信誉良好的来源(通常称为证书颁发机构或信任根)颁发和签署。像数字身份证一样，设备交换数字证书，以加密方式验证彼此的身份和来源。换句话说，身份验证凭证允许您证明您是您所说的那样。随着物联网安全知情洞察他解释说:“数字证书不仅能提高安全性，还能提供更好的客户体验(例如，无需输入PIN码)。”

证书中的加密签名不能被伪造或重新创建，除非您在源处拥有适当的私钥。您可以阅读有关身份验证过程、数字证书和PKI的更多信息在这里．

2. 当今物联网行业面临的主要挑战是什么?

挑战是多方面的，但我认为最常见的三个是:

• 虽然许多公司开始探索解决方案，但大多数设备制造商没有安全专家，也没有准备好管理复杂的安全问题

传统上，设备制造商和安全公司在两个截然不同的领域运作。

设备制造商在一个物理设备的世界中运作，通常每年生产数十万甚至数百万个设备。严格管理库存、材料成本清单和准时交货对保持竞争力至关重要。设备制造商使用固件和占用空间小的应用程序，通常计算能力和存储空间有限。为了降低成本和缩短交付时间，可以将安全性限制在仅必要的范围内。这个市场的特点是成千上万的中小型公司，它们各自的销量可能不高，但总体上出货量达数十亿。

安全公司传统上是在企业计算、网络、web服务器和web应用程序领域运营的。这些账户的典型特征是拥有专门从事安全工作的IT团队和员工或顾问的大公司。一般来说，这些是大公司、银行、数据中心、医疗保健提供商等，这些地方可能没有物理产品，但有价值的数据存储在庞大的数据库服务器中。这些数据用于提供服务，通常涉及必须受到保护的个人和/或财务信息。

正如你所看到的，这可能会导致设备制造商所需要的和安全公司所能提供的之间存在很大的不匹配，导致双方各自其是。因此，设备安全性通常不能正确实现。这并不是因为设备制造商不想这么做，而是因为他们没有得到如何去做的有效指导。

• 在满足产品进度和季度收益的压力下，设备安全经常被忽略或被抛在一边，因为目前需要花费太多的精力和成本来理解和实现它

人们经常听说成本是不实现安全性的原因，但误解了成本所在。降低BOM成本的压力确实很大，但更大的成本往往是公司需要了解安全性本身的员工。无论是从现有员工还是新员工分配大脑周期，员工数量通常是公司产生的最大成本之一。理解需要大脑周期。大脑周期=时间。时间=金钱，一大笔钱。

如果我们要有效地解决物联网安全问题，我们需要解决实施安全的时间问题。

• 尽管物联网已经存在了一段时间，但无线化的市场压力使设备更容易受到攻击

自主网络设备已经存在了相当长的一段时间，但主要是在有线网络上实现，规模相对有限，使用通用计算机。然而，随着摩尔定律的不断发展，微控制器已经发展到即使是一个非常小、便宜的芯片也可以运行一个完整的TCP/UDP网络堆栈，除了管理无线电台。这种高集成度和低成本促使市场采用小型无线连接的自动设备。此外，无线连接的便利性已经将采用规模提高到我们以前从未见过的数量级。

连接到网络的每个设备实际上都是该网络上的用户。你会让一个人类用户不验证他们的身份就进入你的网络吗?如果你不这么做，为什么要让一个“设备”来做呢?我把“设备”加上引号是因为，在网络环境中，您不能总是确定声称是设备的东西是否真的是它所说的那样。

我经常听到的忽略安全性的理由是“那台设备上没有什么重要的东西”。这是数据中心的思考方式，你要保护的是实现安全的系统上的直接内容。我的回答通常是这样的:“你完全正确。没人在乎设备上有什么。他们关心的是它所连接的网络。”这通常会让他们重新考虑自己的立场。不安全的设备在网络上为攻击高价值设备或获取敏感数据提供了立足点。

3. 企业如何确保其物联网产品的安全性?

• 企业不应再将安全视为负担

相反，企业应该利用安全作为改善客户体验和收入的机会。消费者不是为了安全而购买安全，他们购买的产品是为了让他们的生活更轻松、更方便。如果产品是安全的，它就会改善客户体验。

• 必须在设备的设计阶段解决安全的整体方法

为了更快地将产品推向市场，很容易陷入“现在销售，以后再补”的心态。预测可能出现的每一个安全问题几乎是不可能的，所以制造商需要不断地问自己:“随着时间的推移，这个功能会如何发挥作用?”以及“我们如何以一种可扩展且安全的方式来做这件事”。在产品生命周期的中途进行安全性改进通常效果不太好，而且经常会导致失败。

• 企业必须理解“安全”的真正含义，并寻找解决方案容易消化的如果他们不雇佣安全专家

设备制造商需要理解安全的真正含义它是什么。仅仅因为你使用加密，并不意味着你的设备是安全的。安全的最大要素不是加密，而是身份验证:确定您正在与谁通信，并能够验证它。

--

随着物联网设备收集越来越多关于我们和我们日常生活的信息，消费者和企业必须更加关注安全风险和漏洞。作为物联网产品总经理Chris ConnorsIBM表示:“这意味着设备制造商、应用程序开发人员、消费者、运营商、集成商和企业业务都有责任遵循最佳实践。”

你可以找到更多的信息物联网安全．不要忘记订阅我们的博客，在未来的博客文章中获取更多关于物联网的信息。