物联网的安全性很差是时候采取不同的方法了

物联网已经成为主流，我们需要新的缩略语来区分医疗（IoM T）和工业（IIoT）连接设备与消费者门铃、安全摄像机、气象站、网球拍和已经是流媒体数据的尿布。 国际数据中心估计，在2019年，随着我们迈向工业4.0的宏伟愿景，大约有2000亿$用于工业IoT模块和传感器。

想法是，我们现在进入第四次工业革命（蒸汽动力和电力已经让位于计算机为第三次工业革命）。 这一宏伟愿景的一部分是，智能、连接、机器学习动力的机器，可以配置、监控、改进和诊断自己，成为从工厂到汽车和城市的一切的一部分。

如果你想从谈论一切的未来拉回到仅仅是制造和生产方面，那就是工业4.0。 然后是边缘计算;在将大量计算从服务器机房移到云上之后，我们现在可以将最具时间敏感性的计算推到机器旁边，回到云上进行分析和建模，从而使本地计算具有如此针对性。

不管我们怎么称呼它，当IoT设备控制药物泵、制造操作、车队管理和电网时，你希望它们是安全的。

防火墙不会帮你的。 在2018年上半年，卡巴斯基IoT蜂窝察觉到1200万次针对IoT设备的攻击来自69.000个IP地址。 在2019年上半年，多达1.05亿次攻击，来自276，000个独特的IP地址。 您是否计划阻止所有恶意IP地址？

自调制解调器和后来的智能手机在办公室外正常工作以来，周边防火墙作为保护设备的方法一直没有意义，就像围墙城堡有点过时一样。 远程连接策略是一种试图迫使每个人通过吊桥，在那里你可以查看他们和他们的身份证。 有条件的访问政策就像把一个非常有经验的人放在大门上：即使识别文件被偷或伪造得很好，他们也会寻找可疑的行为，比如以不可能的速度来到这里，或者从来没有来过这里，而是要求直接去塔楼里的房间，把宝藏放进去。

一旦你进入了墙壁，你就需要对每个系统执行访问策略，每个房间都有另一个吊桥，因为防火墙只能检查从外部进入的“南北”流量，而不是在网络反弹的“东西”流量。

回火网络具有它所称的虚拟气隙防火墙，它用存储在安全硬件中的加密标识取代IP地址。 这是物联网安全的许多方法之一。 GD（负责大部分SIM的公司）建议使用eSIM作为身份。 思科边缘情报承诺异常检测-通过分析网络流量发现受损的物联网设备。 微软有Azure IoT服务，使用Azure ActiveDirectory进行身份和设备管理（包括更新设备，这是今天很少发生的事情，使用Windows更新内容分发网络）。 它还拥有Azure Sphere，这是一个硬件平台，用于构建具有自定义Linux发行版的设备和由高通、NXP和其他硬件供应商拾取的安全微控制器单元。

ARM——它的嵌入式处理器在物联网设备中得到了广泛的应用——正在为物联网设备中使用的芯片添加一个信任的硬件根，它可以在设备部署后阻止调试器访问;这种生命周期保护是一种很好的方法，可以为开发人员提供强大的工具来构建黑客无法用来入侵的系统。

在这些保护之前，您还可以对IoT硬件采取一些更简单的预防措施：确保设备从未安装默认密码，并为每个IoT设备使用强标识，因此它只能与控制或发送数据的系统通信。 物联网设备有时被攻击作为进入您的网络的一种方式，因此限制特权管理帐户，并从基本身份验证和密码转移到MFA和生物识别或硬件令牌。