在物聯網安全方面，新的一年會帶來什么？我不能說我的水晶球足夠透亮，但是我愿意就2021年的物聯網安全發展做出以下三個預測。

　　圖片來源：//pixabay.com/images/id-525732/

　　2020年終于過去了！在網絡安全方面，每個人都擔心惡意行為者篡改選舉數據，但他們似乎更專注于（或至少成功地）對醫院進行勒索軟件攻擊。

　　在物聯網方面，我們看到了重大漏洞的披露，例如6月份的Ripple20和12月份的Amnesia-33，這些漏洞暴露了數百萬臺物聯網設備中使用的TCP / IP堆棧。TCP/IP作為物聯網的動脈系統，承載著作為其生命線的數據，這些漏洞再次證明了為什么所有組織都需要一個計劃來快速對其物聯網設備執行固件更新——如果他們想從這些漏洞中及時“止血”的話。

　　那么，在物聯網安全方面，新的一年會帶來什么？我不能說我的水晶球足夠透亮，但是我愿意就2021年的物聯網安全發展做出以下三個預測。

　　安全即服務迅速進入物聯網市場

　　正如FireEye和其他安全即服務（SECaaS）提供商最近取得的成功所表明的那樣，公司越來越多地尋求將其本地部署、云和其他網絡安全需求外包出去。這些SECaaS提供商將深厚的網絡安全專業知識、易于部署的SaaS安全解決方案和規模經濟相結合，以比內部替代方案更低的成本為公司提供強大的安全性。

　　現在，SECaaS供應商正在向物聯網市場擴張——我預計這種擴張將在2021年加速。全球公司部署的數以百萬計的物聯網設備是網絡犯罪分子的巨大目標，而公司缺乏物聯網安全專業知識往往使這些設備容易被犯罪分子攻擊。與其自己成為物聯網安全專家，我希望公司越來越多地與SECaaS提供商合作，以保護其物聯網數據免受惡意行為者的攻擊。

　　然而，關于這個新興的物聯網安全市場，一個問題是，誰將主導它？SECaaS提供商是否會將其現有應用擴展到物聯網，為公司提供滿足其安全需求的全面解決方案？或者是專門為保護物聯網數據而設計的SECaaS應用的初創企業，誰會是這個市場的領導者？在這個問題上，只有時間能證明一切。

　　公司將要求物聯網解決方案提供商建立自己的安全保障體系

　　雖然越來越多的公司將物聯網安全外包給SECaaS提供商，但他們現在也將開始要求（如果他們還沒有這樣做的話）其物聯網設備、網絡連接、云和其他提供商不僅要承諾讓他們的解決方案安全，而且還要證明這一點。

　　具體來說，他們將只與對物聯網安全問題有深刻理解、將強大的安全功能集成到產品中，并正在不斷更新這些產品的物聯網解決方案提供商合作。

　　通過僅與致力于安全性的物聯網解決方案提供商合作，這些公司將能夠部署其物聯網安全計劃，為其提供深度防御，使他們能夠避免物聯網安全盔甲出現裂縫，導致數據泄露或丟失。

　　預計會有更多公司要求其物聯網解決方案供應商對以下問題給出明確的答案，以此來兌現他們的安全承諾：

　　▲可以展示您在處理安全漏洞報告時如何致力于透明度和響應能力？

　　▲您是否通過成為產品的CVE編號機構(CNA)來承擔漏洞披露責任？

　　▲您有什么計劃來提供及時的物聯網設備安全更新，您將如何幫助我們部署這些更新？

　　物聯網黑客教會公司，他們必須將安全性作為物聯網部署的關鍵要求。畢竟，如果他們與不致力于安全的物聯網解決方案提供商合作，則他們會使其物聯網應用程序乃至整個IT環境面臨遭受復雜網絡罪犯攻擊的風險。

　　物聯網安全基礎的回歸

　　去年，許多人預測，公司將部署新的基于AI的威脅情報和其他前沿安全技術，以保護自己免受攻擊。

　　然而，盡管這些新技術確實有希望，但過去一年發生的大多數物聯網黑客攻擊都是由于公司根本沒有遵循基本的物聯網安全最佳實踐造成的。（來源物聯之家）早在2018年，開放式網絡應用安全項目（OWASP）就確定了十大最具影響力的物聯網安全漏洞，其中最大的漏洞是弱密碼、可猜測密碼或硬編碼密碼。緊隨其后的是缺乏安全更新機制，這可能導致設備運行在舊的、易受攻擊的固件上。

　　說到保護您的物聯網數據，您無需人工智能即可創建強密碼、更新設備固件或激活并使用物聯網設備的內置防火墻——只需要確保您遵循基本的物聯網安全最佳實踐。

　　實施這些基本的最佳實踐不僅可以提高物聯網應用的安全性，而且還可以帶來降低運營成本的機會。例如，一家確保更新其設備固件的公司可能會很快發現，通過無線固件更新，他們可以很容易地保護自己的物聯網設備免受新的攻擊，從而使他們消除了技術人員的昂貴差旅——手動更新物聯網設備。

　　也許我過于樂觀了，但我相信，在過去一年里，基本的物聯網安全最佳實踐可以解決諸如Ripple20和Amnesia-33之類備受關注的漏洞。到2021年，公司將確保已完全實施這些最佳實踐，然后，再尋找其他技術來應對更罕見、更復雜的攻擊。