【網安智庫】物聯網安全發展面臨的機遇與挑戰

物聯網（IoT）正在飛速發展。物聯網可實現人員、網路和物理服務之間的無縫連接，從

而改善效率，促進創新，帶來定製化的體驗。網路連接設備已經無處不在，充斥在我們日常生活的許多方面，從健身跟蹤器、起搏器和汽車到向我們的家庭提供水和電力的控制系統。物聯網的發展前景無可限量。Statisca 預計，未來數年，物聯網市場的規模將保持20% 以上的增速（見圖1）。

2007 年1 月份，波士頓諮詢集團（BCG）發布最新的物聯網市場研究報告， 預測到2020 年，物聯網科技、產品和服務領域的支出將達到2670 億美元，複合年度增長率（CAGR）將不低於20%，服務和物聯網應用將成為增速最快的，領域佔據物聯網增量中60% 以上的份額（詳見圖2）。

2017 年2 月份，Gartner 發布報告，預測2017 年將有84 億台聯網設備，較2016 年增長31%，到2020 年將達到2040 億台。2017 年終端和服務的總支出將達到接近兩萬億美元。就區域而言，大中華區、北美和西歐將成為物聯網發展的主戰場，2017 年佔據所有聯網設備總數的67%。2017 年，消費領域的聯網設備數量達到52 億台，佔據總聯網設備數量的63%。商業領域的聯網設備數量為31 億台。消費者使用的物聯網設備主要是智能電視和數字機頂盒，商業用戶使用的主要是智能電錶和商用安全監控攝像頭（詳見圖3）。

儘管消費者購買了更多的設備，但是商業用戶的支出額更高。2017 年，商用物聯網支出比例佔到整體物聯網支出比例的57%，其中商業用戶硬體的支出為9640 億美元，消費者硬體的支出為7250 億美元。到2020 年，兩部門的硬體支出將達到接近3 萬億美元（詳見圖4）。對於物聯網整體產業規模的估計，各個研究機構的數據差異較大，這說明物聯網的定義和統計方面仍存在一些模糊的概念，但都認可物聯網會持續高速增長，未來5 年的年均增長不會低於20%。基於這種判斷，諸多資本大鱷已經紛紛將觸角伸向物聯網。2016 年，互聯網教父孫正義以320 億美元的全現金對價收購了物聯網晶元巨頭ARM。孫正義在ARM 科技大會上進行的主題演講中表示，物聯網將會引領下一輪技術爆炸，正如在地球演變歷史上寒武紀爆發形成了無數新物種一樣，用不了多久，聯網的物聯網設備數量將會達到1 萬億，從而形成「奇點」，導致強於人類的人工智慧的出現。

物聯網雖然會促進經濟增長，提高民眾的生活質量，但同樣會帶來巨大的風險。物聯網的發展使得網路攻擊帶來的危害呈指數級上升。技術的進步大幅提高了網路攻擊的成功率，網路攻擊難以溯源，而且隨著世界逐漸連通，網路攻擊所帶來的收益和影響也會大幅上升。這些因素都會導致網路攻擊愈演愈烈。以最近流行的勒索病毒WannaCry 為例，包括ATM 和加油站在內的很多物聯網設備都受到了波及，加油站無法加油，ATM 機無法取款。可以預見，隨著物聯網的進一步發展，網路攻擊會越來越頻繁，造成的損失也會越來越沉重。

孫正義雖然極度看好物聯網的發展，但他同時也指出，未來1 萬億顆聯網的物聯網晶元將使得安全問題越來越突出。物聯網的指數級增長也將使得安全威脅的廣度和破壞度呈指數級增長。以車聯網為例，目前一輛汽車裡有約500 塊ARM 的晶元，未來隨著自動駕駛的普及，汽車內的晶元數量會大幅增長，這會帶來極大的安全威脅。在最新的電影《速度與激情8》中就通過電影屏幕預測了可能的風險。通過黑客技術可以控制所有的設備，使得每輛汽車都成為一個潛在的攻擊工具，其帶來的危害令人瞠目結舌。安全發展的嚴重滯後會帶來一系列的風險。不僅如此，隨著諸多的國家關鍵基礎設施聯入網路，網路攻擊所帶來的風險將上升到國家安全的角度。美國國土安全部在2016 年11 月發布的《保護物聯網安全的戰略原則》一文中明確指出，「物聯網生態系統帶來了風險，包括惡意行為者修改網路設備信息或篡改設備本身，這可能導致敏感數據和消費者隱私丟失、業務運營中斷、通過大規模分散式拒絕服務攻擊停滯網路功能以及關鍵基礎設施中斷。…去年，在烏克蘭部分地區針對電網的網路攻擊中，我們觀察到連通系統故障可能導致的嚴重後果。物聯網安全已經成為國土安全問題。」 此外，黑客還會利用物聯網設備作為橋頭堡來攻擊其他設備。例如，2016年的Mirai 就使用物聯網設備來攻擊互聯網基礎設施，導致歐洲和北美的互聯網中斷，最終的經濟損失高達1000 萬美元。

但是，物聯網的安全發展嚴重滯後於物聯網的創新和部署進展，這造成了重大的安全和經濟風險。麥肯錫認為，當前的物聯網安全主要面臨以下幾個問題5：

（1）技術能力不足：即使單台設備在單獨使用時安全可靠，但設備組成的複雜系統會提供新的攻擊窗口。系統最薄弱的一環決定了系統整體的安全水平。系統保護者必將將其精力和資源分散到全部網路中，而黑客只需攻其一點。這種攻防上的不對稱就要求防護者建立更加複雜和先進的系統。系統集成商有責任提供安全解決方案，但其能力往往不足。

（2）標準缺乏或不成熟：物聯網目前缺乏成熟的標準，導致不同的技術棧之間無法協同。大型的廠商和機構都有自己獨特的解決方案，技術標準之間互不兼容。缺乏通用的標準，就無法制定端到端的安全解決方案。這嚴重製約了物聯網的發展。

（3）客戶和終端用戶仍將物聯網安全視為一種商品：這使得他們不願意為安全付出更高的成本，導致安全產業的規模受限。

有鑒於此，美國國土安全部提出：「政府和行業必須快速合作，確保物聯網生態系統建立在可靠和安全的基礎上。2014 年，美國總統國家安全電信諮詢委員會（NSTAC）強調需要採取緊急行動。物聯網普及的速度和範圍都會增加，這將影響到社會的所有部門。國家的挑戰是確保物聯網的採用不會造成不必要的風險。另外需要設置一個小型的快速關閉窗口，以確保最大限度地提高物聯網的安全性。否則可能會面臨嚴重後果。」

物聯網安全投資方向分析

安全滯後於發展是一種常態， 因為只有在發展暴露出風險后，安全才能得到足夠的重視和投資。目前，相較於物聯網市場的規模， 物聯網安全市場還非常弱小。根據MARKETSANDMARKETS 的報告，物聯網安全市場2016 年的市場規模為79 億美元，相較於物聯網動輒上萬億的市場佔比微不足道。

在這種情況下，物聯網安全無疑也成為各路資金追逐的熱土。雖然目前的物聯網安全市場規模仍然很小，但預計未來會呈爆髮式增長。MARKETSANDMARKETS 預測， 未來五年物聯網安全市場將從2016 年的79 億美元增長到2021 年的369.5 億美元，5 年增長4 倍，年均複合平均增速接近50%。物聯網安全已經成為兵家必爭之地。

總部位於波士頓的諮詢公司Lux Research 對初創物聯網安全公司進行的調查顯示，2015 年，物聯網風險投資融資額增長了78%，達到2.28億美元，2016 年再度增長82%，達到4 億美元（美國的物聯網安全風險投資歷年增長情況見圖5）。大約一半的物聯網安全初創公司位於美國，還有三分之一位於以色列。其中超過一半的公司致力於提供能夠支持多種類型物聯網設備和環境的安全平台，其他的熱點領域還包括工控系統網路安全和車聯網安全。也有不少公司關注物聯網環境下的認證和加密。最近廣受關注的物聯網安全領域的風險投資包括：

2017 年3 月份，三星電子通過其旗下的Samsung Next 風險基金成為Bayshore Networks 早期A 輪的投資者，具體投資金額未披露（韓國媒體估計為數百萬美元）。Bayshore Networks 成立於2012 年，主要業務是工業物聯網領域的網路安全，幫助企業安全地在工業環境下應用物聯網技術7。除了三星以外，全球最大的電子測量儀器製造商日本Yokigawa Electric 也參與了對Bayshore Networks 的投資。

2017 年5 月份，Sway Ventures、Shasta Ventures、Trident Capital Fund 和GE Ventures 投資於物聯網安全公司Mocana，總投資金額高達9360 萬美元。Mocana 成立於2002 年， 提供嵌入式安全。

整體而言，目前物聯網安全領域的投資主要包括以下幾個方面：

（1）物聯網網路安全：保護，將物聯網設備與後端互聯網系統相連網路的安全。由於存在更為廣泛的通信協議、標準和設備，相較於傳統網路，物聯網網路的安全更具有挑戰性。需要提供的能力包括傳統的端點安全功能，例如反病毒和反蠕蟲病毒軟體，以及諸如防火牆和入侵檢測等功能。目前代錶廠商包括：Bayshore Networks、Cisco、Darktrace 和Senrio。

（2）物聯網身份認證：使用戶能夠安全使用物聯網設備的能力，包括對多個用戶使用單一設備的管理（比如車聯網），具體方法包括簡單的靜態密碼、雙因子認證、數字證書和生物指標。和傳統網路最大的不同是，傳統網路需要人工輸入密碼，而在很多物聯網認證場景中都是機器與機器之間的對話（例如嵌入式感測器），無需人工干預。代錶廠商包括Baimos Technologies、Covisint、Device Authority、Entrust Datacard 和Gemalto；

（3）物聯網加密：使用標準的加密演算法，在物聯網的終端設備和後台系統端點或傳輸過程中進行加密，以保證數據的完整性，防止黑客竊取數據。物聯網設備和硬體的多元化限制了標準化加密流程和協議的應用。此外，所有的物聯網加密必須採用同等的全面密鑰生命周期管理流程，否則脆弱的密鑰管理會降低整體的安全水平。代表性廠商包括 Cisco、Entrust Datacard、Gemalto、HPE、Lynx Software Technologies 和Symantec。

（4）物聯網PKI（公共密鑰基礎設施）：提供完整的X.509 數字證書、密鑰和生命周期管理能力，包括公私密鑰生成、分發、管理和撤銷。某些物聯網設備的硬體規格可能不適於採用PKI。可在生產時將數字證書安全地載入到物聯網設備中，隨後通過第三方軟體激活，也會在生產後再安裝證書。代錶廠商包括DigiCert、Entrust Datacard、Gemalto、HPE、Symantec 和WISeKey。

（5）物聯網安全分析：搜集、匯總、監控和標準化來自物聯網設備的數據，提供具備可操作性的報告，對並意外情況報警。這些解決方案需要基於複雜的機器學習、人工智慧和大數據技術來提高預測的準確度。物聯網安全分析可用於檢測諸如防火牆等傳統網路安全解決方案無法識別的針對物聯網的攻擊和入侵。代錶廠商包括Cisco、Indegy、Kaspersky Lab、SAP和Senrio。

（6）物聯網API（應用程序介面）安全：驗證和授權數據在物聯網設備、終端系統和應用之間轉移的能力。應用程序介面安全對於保護數據傳遞過程中的完整性至關重要。代錶廠商包括Akana、Apigee/Google、Axway、CA Technologies、Mashery/TIBCO、MuleSoft 和WS02。

物聯網的發展是大勢所趨，但安全將成為制約其發展的核心要素。隨著世界日益在線，網路攻擊帶來的收益和影響力會越來越大，網路安全事故的爆發只是時間問題，而且其規模和影響力會持續上升。安全總是滯後於發展。每次事故都會加速安全行業的投入和發展。未來數年甚至數十年，持續保持高速增長的物聯網安全領域都將成為資金追逐的熱點。

作者 >>>

王瀅波，上海社會科學院信息研究所助理研究員。