（圖片來源于網絡）

物聯網依舊呈快速增長態勢，但對安全的擔憂仍然是一個重要的障礙，這一點阻礙了物聯網設備的采用速度(見圖1)。

事實上,貝恩公司所做的研究發現,如果企業客戶對網絡安全風險的擔憂得到解決，他們愿意購買更多的物聯網設備--他們所購買的設備至少比在安全風險擔憂未解決的情況下平均要高出70%(參見圖2)。另外,93%的受訪高管表示,他們會為安全性更高的設備平均支付逾22%的費用。綜合來看，貝恩估計，改善這些設備的安全解決方案可能會使物聯網網絡安全市場增加90億至110億美元。產生這種結果的一個原因可能是，歐盟(EU)《通用數據保護條例》(General Data Protection Regulation)等新法規加大了壓力，該法規對企業的安全問題(包括數據泄露)提出了嚴格的數據保護要求和懲罰。

這些是我們花費三年研究和調查工作的結果，包括與首席執行官、首席運營官、首席信息官、首席信息安全官以及其他商業和技術領袖就物聯網安全和技術進行討論。值得注意的是，擁有最先進網絡安全能力公司的高管也是最關心安全風險的。

對于物聯網設備供應商——制造物聯網設備的公司以及提供相關解決方案的公司——傳達了一條很明確的信息：提高安全性以獲得競爭優勢并擴大市場。

客戶如何看待網絡安全

我們調查的大多數高管(60%)表示，他們非常擔心物聯網設備給公司帶來的風險——這并不奇怪，因為物聯網安全漏洞可能會給運營、收入和安全造成損害。如果保護不力，物聯網設備可以允許訪問企業系統，導致大量數據被泄露。

受病毒感染的設備也可以被操控對企業發起攻擊。2016年10月，Mirai惡意軟件攻擊破壞了數千個傳感器、攝像頭和其他設備，導致了一個龐大的僵尸網絡，發起了分布式拒絕服務攻擊，擾亂了包括GitHub、Netflix、Twitter和Airbnb在內的熱門網站。在2018年1月，一種名為Okiru的Mirai病毒變體瞄準了嵌入在數十億物聯網產品中的流行版本的弧形處理器。被操控的物聯網設備也可以進行點擊欺詐，每年給廣告商帶來數十億美元的損失。受損的設備也可以用來挖掘比特幣和莫奈羅(monero)等加密貨幣。

在制定防范此類攻擊的解決方案時，物聯網設備供應商可以通過網絡安全能力成熟度級別對目標客戶進行細分。這樣一個細分有助于根據客戶需求確定使用不同的方案,反映了現實企業客戶的能力不是靜態的,而是正在向更高級的水平發展(見圖3)。

在各個領域，幾乎所有的高管都表示，物聯網設備對他們的組織構成了中度或重大風險，而那些網絡安全級別較高的公司的高管認為，他們公司比那些網絡安全能力較低的公司面臨的風險更大(參見圖4)。

我們的研究還表明，某些行業的高管認為自己面臨的風險比其他行業的高管更大(見圖5)。耐用品，建筑和建造，能源和公用事業，金融服務和技術方面的高管的擔憂可能尤為嚴重。 這些擔憂反映了行業現實，而不僅僅是個別高管的看法。舉例來說，在能源領域，石油和天然氣生產商依靠數以萬計的物聯網傳感器和復雜的生產控制設備在他們的油井和鉆井平臺上進行工作。能源公司使用這些物聯網設備(這些設備平均每天可以超過1兆兆字節)的數據，在接近實時的情況下，可以微調操作，同時保持嚴格的安全閾值。完整性的破壞或中斷數據流可能導致災難性的破壞。

近一半的醫療行業高管認為存在重大風險。醫院和診所越來越多地依賴從第三方采購組件的供應商提供聯網診斷監控和護理設備。核磁共振成像、機器人輔助手術設備和藥物輸送泵都為未經授權的訪問者提供了誘人的機會——但對病人安全造成明顯威脅。2017年9月，美國工業控制系統網絡應急響應小組發現了無線注射泵的漏洞，并警告說，如果不加以防范，這些漏洞可能對患者構成重大威脅。

制造商對物聯網的使用也給工業環境帶來了新的風險。大型制造商可能部署數以千計的物聯網設備，包括從傳感器到復雜的半自主機器人。受損的傳感器可能會導致數據不準確，從而影響管理層做出關鍵的營運決策，或造成庫存問題，對整個價值鏈造成嚴重破壞。更大的風險可能會出現在工廠層面，在那里，一個受損的機器人設備可能會引發細微但危險的活動，或者對工人和其他設備造成更大的破壞和傷害。

客戶如何管理物聯網網絡安全

我們與管理網絡安全的高管進行的對話表明，客戶需要高效，易于集成和靈活部署的解決方案。公司根據其能力和供應商提供的可用的市場解決方案，采取一系列措施來滿足其安全需求(參見圖6)。 目前使用的物聯網網絡安全解決方案中，只有約三分之一來自物聯網設備供應商，這表明供應商要么無法提供滿足消費者需求的全面、高質量的解決方案，要么供應商不能很好地推廣這些解決方案。 我們的研究發現，擁有最先進網絡安全的公司更多地依賴于內部開發的安全解決方案，這不僅是因為他們可能有更復雜的需求，并且是因為他們更有可能具備開發自己解決方案的人才和能力。

客戶需求的脫節

我們還研究了企業如何按安全層次部署解決方案，并為物聯網設備供應商在每一安全層級創造充足的機會。

我們的調查發現，訪問接口層是需要保護的最高層級，無論是內部開發的還是由制造商或第三方提供的(參見圖7)。客戶對內部解決方案的偏好可以通過考慮每一層級的具體條件來逐一進行解釋。

例如，數據安全解決方案通常需要比目前在基本物聯網設備上可用的計算和電力資源還要多。麻省理工學院的研究人員發明了一種新的芯片，可以在物聯網設備上使用1/400的功率和1/10的內存進行加密，速度是當前芯片的500倍。但在這項新技術被廣泛采用之前，制造商在權衡這些需求與物聯網設備的規模、成本和力量時，需要繼續進行設計和性能的權衡。

硬件安全解決方案必須解決物理接口(如USB或以太網端口)、設備操作系統和硬件上的漏洞。但是，很少有制造商在出廠前針對已知的漏洞對硬件進行充分的測試，而且缺乏特別多的設備對新的漏洞進行測試。

最后，IT安全操作必須管理和監視他們的物聯網設備。雖然大多數企業希望擁有一套統一的工具和對設備安全狀況的統一概述，但很少有物聯網設備制造商能夠很好地理解客戶的需求，繼而提供這種解決方案。盡管如此，他們仍然可以與客戶合作，挑選值得信賴的第三方，作為開發全面安全解決方案的合作伙伴。

由于缺乏精心設計的物聯網網絡安全產品和服務，客戶們正在設計自己的解決方案，完全放棄或不使用物聯網解決方案，直到供應商能夠填補這一空白。

物聯網設備供應商可以通過什么來獲得市場份額

為了提高物聯網設備的安全性而迅速采取行動的物聯網設備供應商和生態系統參與者，不僅可以通過他們的能力獲得額外的收入，而且還能從擴大的市場中獲得回報。物聯網生態系統的一些領導者正在加緊應對安全挑戰，抓住相關機遇。亞馬遜已經創建了一個集成了物聯網解決方案的生態系統。它最近授權了一個名為FreeRTOS的開源操作系統，使得該系統能夠更容易開發、部署、管理和保護低耗能物聯網設備，并借助函數庫和工具對其進行加強，這些函數庫和工具有助于物聯網設備管理以及數據和網絡安全。同樣地，微軟的Azure IoT Hub以設備供應、身份驗證和安全連接的形式提供設備管理和安全功能。另一個例子是工業物聯網設備制造商通用電氣(GE)，該公司將網絡安全視為一種競爭優勢。通用電氣于2014年收購了Wurldtech，并最終將Achilles安全產品與Predix物聯網管理平臺集成在一起。從治理的角度來看，通用電氣將風險管理和產品安全責任分配給其組織內的專門領導者，確保將網絡安全放在首位。

這些努力取得了重要的進展，但僅憑它們本身不足以采用解決物聯網所面臨的更廣泛的安全問題。在設備的設計、開發和部署中，所有物聯網設備供應商都需要更加關注安全性。四個步驟可以幫助主管們制定他們的任務。

首先，制造商需要了解客戶如何使用他們的設備。通過每12到18個月更新他們對客戶用例的理解來跟上客戶的需求，這將使他們能夠掌握不斷變化的安全需求，并幫助識別未滿足的需求。確定客戶的平均網絡安全成熟度水平將有助于制造商投資于適當的解決方案。例如，臨時成熟度客戶傾向于尋找價值，而不是最新的、最好的解決方案。

第二，制造商應在設備上提供網絡安全能力，并盡可能與值得信任的網絡安全供應商合作，提供額外的解決方案。工程團隊應該將安全開發實踐根植于設備的軟件和硬件組件中，并為訪問接口、應用程序、數據和設備層提供固有的解決方案。大多數客戶將使用這些“開箱即用”的功能，而不管它們的網絡安全成熟度如何。采取這些措施可以減輕物聯網設備中常見的漏洞，如默認密碼或嵌入式密碼、憑證和網絡通信缺乏數據安全性，以及確保系統完整性的薄弱安全措施。制造商還可以投資與網絡安全供應商的合作關系，在數據、網絡和操作層提供售后解決方案，選擇性地為某些細分市場的客戶集成這些解決方案。例如，具有一致性安全性的客戶往往傾向于集成解決方案，而最佳實踐購買者則尋找最佳的解決方案，而非集成解決方案。

第三，制造商還需要滿足質量保證標準，并能夠證明他們的物聯網設備沒有已知的漏洞。對于那些有時安裝新設備卻沒有意識到其中包含漏洞的客戶來說，這將減輕他們的煩惱。部署一個更有條理的過程來識別和消除跨層級的漏洞，或者采用第三方漏洞掃描和滲透測試公司可以幫助制造商達到這一標準。定義一個具有明確義務的網絡安全保修期，可以告訴客戶該供應商的責任和期限。

最后，制造商可以在保修期內通過不斷測試新的漏洞、提供更新的軟件和固件、以及“開箱即用”和售后解決方案的功能來履行其義務。在整個保修期內，更新硬件、操作系統和應用程序以應對新發現的安全漏洞應該是首要任務。

這四個步驟只是一個開始，但并不是著手解決阻礙物聯網的安全問題的全部所在。雖然物聯網市場的增長似乎一定會繼續大步前進,許多企業客戶仍將繼續謹慎行事,直到他們能夠確保其數據以及日益依賴的設備、傳感器和物聯網的安全性。

本文來源前瞻網，轉載請注明來源！（圖片來源互聯網，版權歸原作者所有）