未来一到三年内,物联网设备的大规模增长应该会让我们停下来。随着各大公司争相率先进入市场,我们是否看到了我们多年来一直在研究的基本设备原则的“简化”,尤其是增强的安全和隐私。由于有如此多的不同的应用,设备范围和多样性代表了一个独特的安全挑战,到目前为止还没有被满足。
我估计目前现实世界中部署的物联网设备中,有85%或更多没有安装足够的安全装置,其中绝大多数可能永远不会升级(或者甚至没有能力升级)。这意味着,不仅目前正在安装的设备会带来风险,未来一到两年,将部署的绝大多数设备也会带来风险。
这是一个更好的事物事业(EoT)在世界范围内,设备通常更昂贵,并且能够增强可管理性、可靠性和安全性。但在消费者物联网设备对价格敏感的市场,确实缺乏对安全的关注。
在物联网设备中建立安全,不要在以后添加
无论是EoT还是物联网,真正的挑战在于部署设备时要使用具有内在安全能力的平台,而不是在设备创建后再增加安全能力。附加的方法在过去从来没有很好地工作过,这个市场也不例外。
在任何平台中都需要哪些关键的安全组件?
- 硬件级别的可信执行环境
- 安全UI(如果使用),以防止黑客攻击
- 确保数据加密的安全存储
- 固件和os安全的生命周期管理
- 受保护的通信能力和连接,包括VPN
- 设备ID和登录的密钥管理和供应
- 支持良好安全性设计实践的开发工具和方法的生态系统
- 针对最佳类实现的特定于案例的配置文件和建议
在移动领域,我们已经经历了所有这些,尤其是在企业市场,不幸的是,许多物联网供应商还没有吸取教训。新兴设备,无论是面向消费者的还是面向企业的,都必须能够显示出明确的安全和隐私保护能力,否则将在市场上面临最终的拒绝。
的确,添加了安全平台的设备将具有重大的竞争优势。而那些没有这么做的公司将面临市场反弹,并可能因任何安全漏洞而面临法律后果。
为物联网设备增加安全性会增加价值
一些人认为,在一个对价格敏感的市场,添加安全组件将使物联网变得难以承受。我估计一个真正安全的能力增加了边际量(5到百分比)硬件的成本,和,因此,成本不应该主要抑制剂添加任何物联网安全的内部基础设施设备,特别是那些关键任务和/或不像废品价格消费设备。
所以,更多的是哲学和不理解安全的重要性,导致一些制造商不重视安全。增加的成本与增加的价值相比微不足道。
提高物联网/EoT的安全性并不难。当前大多数物联网设备都是使用商品微控制器构建的,这些微控制器本身并没有设计成内置在移动电话衍生的SoCs(例如,可信的执行“保险库”、加密引擎、vpn)中的安全组件。随着多年来安全增强的历史和在安全特性方面竞争的迫切需要,利用“缩小的”移动SoC技术比试图在没有本质上设计相同数量安全子系统的芯片上重新发明软件的安全性要合适得多。
因此,小型化的移动soc在系统性能方面具有竞争优势,即使它们的成本可能更高一些,并且具有微控制器通常无法匹敌的已被证明的安全特性。这使他们在下一代安全意识物联网设备中具有重大优势。我预计,大多数新的物联网设计,尤其是EoT,将把其中一种作为首选平台,而不是简单的微控制器。
物联网设备制造商不能忽视安全方面的教训
总结:这些年来,我们在设计智能手机和使其更加安全方面学到了很多。当我们进入移动的下一个阶段——物联网和EoT时,我们不应该忽视这些教训。如果要认真对待安全问题,利用智能手机硬件设计和软件的所有功能是最合理的。
随着越来越多使用改进智能手机芯片平台的参考设计进入市场,我预计这些设备将会有一个更安全的环境。这对我们所有受到物联网/EoT影响的人都有利。任何开发或部署此类技术的人都应该确保它们是在智能手机衍生的平台上开发的,而不是在更简单、更不安全的设备上开发的。