守护物联网的边界：从设备开始从设备结束

物联网已经吸引了国家高层的注意，他们正越发关注物联网连接设备的安全性的悲惨状态，Mirai恶意软件在僵尸网络上扩散时演示了此状态。确实，物联网设备缺乏安全性预示着一个勇敢的新世界。

随着物联网显示数以百万的连接设备，每个节点聚集和存储自己的个体数据采集，并通过无线通信技术经由互联网和云与其他互联设备共享信息。通过感染一个设备，获取对网络的非法访问，一个臭名昭著的演员可以造成大规模的蓄意破坏。企业必须快速弄清楚如何注意连接到他们网络的物联网设备动向，以及如何保护往返于这些设备的数据传送。

挑战1. 无处不在的智能设备

智能设备貌似只是无处不在而已----家、汽车、工作场所----但事实上，“智能设备”的理念例证了物联网影响力的范围拓展，不仅在商业方面也在社会上。一个明显的例子是，迪拜水电局(DEWA)计划到2020年在整座城市安装超过100万台智能表。DEWA的CEO Al Tayer今年8月在企业创造力实验室车间里发表演讲，说到“DEWA为建造一个更加智慧的利用整合电子数据的迪拜贡献力量，使其通过IT系统和同步网络并运用互联网和云计算彼此连接。”

正如DEWA计划使用智能表来提高迪拜的城市功能，全世界的企业正为他们的业务做着同样的事情，通过连接即便是最不希望连接的物联网设备到他们的网络，譬如智能可穿戴设备、智能打印机或智能咖啡机。随着无数物联网设备已经出现在市场上，跟踪每一个连接设备和它传输的数据会成为一项冗长乏味的任务，尤其是因为如今的设备可以各种方式接入无线网络。随着无线选择使网络连接更简单更便于人们访问，包括对关键基础设施的远程访问，有线网络正变得越来越过时。

物联网设备必须有某种证明，从而帮助企业确保连入他们网络的的物联网设备是可信的，并且它们的用户证书是已证实的。在DEWA迪拜未来计划的案例里，如果从一个智能表传输到邻近一个的数据被另一个未经认证的设备拦截了，会发生什么?看见DEWA的安全努力展示出来会很有趣，因为它可能为其他政府和企业提供一个可学习效仿的例子。

挑战2：智能设备安全

正如Qualcomm执行主席Paul Jacobs最近告诉Reuters的，“对于物联网来说，保证你有一个保护和升级设备的方法是非常重要的。”因此，为什么它没有在所要求的规模下发生呢?

正如我们所见到的，臭名昭著的Mirai僵尸网络，由全球大约500,000个物联网设备组成，对诸如Twitter 、Reddit 和Netflix 之类限制访问的主流网站的Dyn网络发动先进的DdoS攻击。在那之后，它影响了利比里亚部分地区的互联网速度和访问，攻击者甚至企图打击总统候选人Donald Trump和Hillary Clinton的竞选网站。

这种类型的侵入已经发生好几年了。回溯到2008年，一次对1099英里长的土耳其输油管线的攻击，被记录为迄今为止在网络战争史上意义最重大的事件之一。根据《Bloomberg News》，攻击者在发现摄像头通信软件的漏洞后，利用此漏洞获取了管道油压的操作控制访问权限。从那儿，他们可以在运营商无法知晓的情况下操控压力、使用无线操作系统作为数字化武器来操纵输油管，将其变成一个灾难性的石油炸弹，能使大约“30,000桶油在含水层上的某一区域喷溅而出”。

这场攻击的衍生物会是毁灭性的;在土耳其输油管道的案例中，其结果“耗费BP和它的合作伙伴在管道关闭期间一天500万美元的过境关税。”

不幸的是，这种类型的攻击没有减慢步伐。

随着数据横穿互联设备的大型网络，可以做更多的事来保护数据，并验证设备以保护它们免受未授权的访问。

解决：公钥基础设施(PKI)

考虑到当前大量的互联设备以预料中的指数级增长，物联网部署在为每个设备提供唯一身份方面提出了一项新的挑战。PKI通过身份验证、加密和数字签名解决设备标识和安全。强大的安全性需要为每个物联网设备配备唯一的认证信息。PKI提供了一个规模化的方法来实现，使用密码可靠的认证信息来提供比密码更好的安全性。还有，PKI解决方案可以被自动化，从而满足对物联网规模的关注，对比人们手工操作的传统设备访问控制流程。PKI的新方法包含自定义配置文件和自适应的定价模型，从而高效地匹配用户案例的增长。

PKI密码地补充身份认证管理，赋予企业监控他们的物联网设备并保护贯穿设备生命期的数据的能力。可扩展的认证生命周期管理允许设备身份配置、证书循环以保持最新的认证，并且当不再需要某个设备或设备的用户不能有更高级权限时可以撤销。如果设备出现异常表现，基于PKI的身份允许企业识别该设备，并采取缓解的行动。PKI使物联网安全管理更加容易和切实可行。

结束语

企业需要区分优先级，以便互联的设备有很强的身份证明，强验证(无密码)和加密来保持系统完整性。为了实现该目标，必须在设备开发和制造时，同时在他们的网络部署这些互联设备时思考全面的安全设计。最终，用PKI的所有者可控的安全性会成为保卫物联网安全的最重要的下一步。

本文转自d1net（转载）