行業新聞與部落格

從支援網際網路的家用電器到智慧手錶等可穿戴裝置，聯網裝置在我們的日常生活中變得無處不在。雖然連線到家庭網際網路系統的水壺的實用性存在爭議，但毫無疑問，這些裝置中的技術正在變得越來越智慧。但我們應該問的問題是，這些裝置在多大程度上存在安全風險？  

不安全感的代價

威脅行為者總是會找到巧妙的方法來利用新技術並利用被忽視的漏洞，而當已知 2020 年發貨的 50% 的裝置存在安全漏洞時，這無濟於事。市場上消費物聯網產品的安全水平不足，導致駭客透過嬰兒監視器和網路攝像頭訪問網路被滲透，甚至完全接管智慧汽車的控制權。

供應鏈在確保物聯網裝置從製造一直到分銷的整個生命週期的安全方面發揮著不可或缺的作用。然而，由於如此多的碎片化，最大的問題是，誰該負責？說實話，每個人都必須履行自己的承諾，優先考慮供應鏈每個環節的安全。為了確保這種情況發生，我們需要對整個供應鏈進行監管，以追究組織的責任，否則，當人們不發揮自己的作用時，我們就有可能為犯罪分子留下可乘之機。

供應鏈攻擊的一個臭名昭著的例子是，一家受感染的 IT 基礎設施公司 SolarWinds 與其客戶共享受感染的軟體更新。隨後，俄羅斯網路犯罪分子能夠透過更新中的後門訪問私人公司檔案，從而危及數千個組織的安全，其中包括政府機構以及微軟和英特爾等藍籌公司。

由於資料在供應鏈中的每個環節之間交換，特別是在裝置程式設計和測試期間，不良行為者有機會攔截和操縱裝置功能或注入惡意軟體。除此之外，硬體安全和軟體安全之間存在顯著脫節。市面上有各種硬體安全選項，但對於公司來說，利用它們是一項艱鉅的任務，可能需要一個月的時間才能啟動和執行。

隨著量子技術的發展，惡意行為者將能夠使用更強大的計算機來提高這些攻擊的有效性。然而，企業可以透過採用後量子加密安全解決方案來減輕量子威脅的風險，其中加密演算法利用這種新興技術領先於攻擊者。

協作對於物聯網裝置安全的重要性

量子技術的影響是巨大的。因此，監管機構在制定物聯網安全標準和法規方面發揮著關鍵作用，因為它們充當製造商和消費者之間的粘合劑，鼓勵他們合作。例如，NIST 一直致力於開發後量子密碼學自 2016 年以來應對威脅的標準化流程。

然而，讓每個人都唱同一張讚美詩可能很困難。製造商的目標是盈利，而消費者則優先考慮便利性，監管機構只是希望每個人都遵守規則。平衡這些利益可能具有挑戰性，當這種平衡失去時，可能會導致攻擊者可以並且願意利用漏洞來達到自己的目的。

這就是組織更加關注物聯網安全如此重要的原因。在許多情況下，假設供應鏈上的其他人能夠解決問題，人們就會把頭埋在沙子裡。透過充分掌握立法和標準，組織可以更輕鬆地評估用於提高物聯網安全性的可用技術，並且制定經過認證的指南將鼓勵公司遵守公認的安全標準。

安全設計

惡意通常會利用不良的設計，但即使是由於安全控制無效而導致的資料無意洩露，也可能給消費者和供應商帶來可怕的後果。因此，物聯網裝置和服務從一開始就設計安全性至關重要。我們必須擁抱設計安全的理念，而不是事後才想把它固定下來。

這種開發物聯網裝置的方法從產品設計和開發之初就將安全性放在首位。它體現了一種積極主動的心態，其中安全考慮因素是裝置生命週期每個階段（從概念化到部署）不可或缺的一部分。

可以把它想象成一層洋蔥：晶片、軟體和裝置。為了實現安全，晶片需要經過認證，軟體使用晶片的方式也必須經過認證，裝置製造商必須以不破壞整體安全模型的方式實現這兩層。隨著技術不斷進步，網路犯罪分子利用這一點來擴充他們的策略，確保物聯網生命週期中每個點的最高安全水平是有效降低違規風險的唯一方法。

聯網水壺的威脅可能看起來很小，但據我們所知，只需要一個薄弱的入口點就會發生違規。隨著量子網路攻擊的可能性即將出現，惡意行為者已經準備好利用這一點。如果我們想在打擊犯罪分子的競賽中保持領先地位，那麼現在比以往任何時候都更重要的是，組織必須透過採用防量子安全措施來掌握並控制其網路。