物聯(lián)網(wǎng)安全的未來：2022年預(yù)測(cè)

我們通過本文跟大家一起回顧2021 年物聯(lián)網(wǎng)的持續(xù)成功，以及其對(duì)物聯(lián)網(wǎng)安全帶來的影響；同時(shí)，PSA認(rèn)證創(chuàng)始成員們對(duì)物聯(lián)網(wǎng)安全的未來做出了2022 年的預(yù)測(cè)。

2021：物聯(lián)網(wǎng)市場(chǎng)創(chuàng)紀(jì)錄的一年

盡管芯片短缺和新冠疫情對(duì)供應(yīng)鏈產(chǎn)生了廣泛的影響，2021 年對(duì)物聯(lián)網(wǎng)市場(chǎng)而言仍是創(chuàng)紀(jì)錄的一年。截至12 月底，全球聯(lián)網(wǎng)的物聯(lián)網(wǎng)設(shè)備數(shù)量預(yù)計(jì)增長(zhǎng)9%，達(dá)到123 億個(gè)活躍終端。這主要得益于工業(yè)物聯(lián)網(wǎng)、智慧城市和消費(fèi)物聯(lián)網(wǎng)等不同市場(chǎng)的數(shù)字化轉(zhuǎn)型。

然而，我們也看到了物聯(lián)網(wǎng)安全攻擊數(shù)量的空前增長(zhǎng)?？ò退够鶊?bào)告稱，該數(shù)字在2021 年上半年翻了一倍多。雖然我們已經(jīng)看到公眾對(duì)最佳實(shí)踐安全性需求的認(rèn)識(shí)在不斷提高，但如果要持續(xù)致力于確保物聯(lián)網(wǎng)安全運(yùn)作，并且不會(huì)因?yàn)樯?jí)防護(hù)工作而損害公眾對(duì)于相關(guān)技術(shù)應(yīng)用拓展的信心，還有更多的工作要做。PSA 認(rèn)證的聯(lián)合創(chuàng)始成員對(duì)物聯(lián)網(wǎng)行業(yè)的未來做出了預(yù)測(cè)，包括新趨勢(shì)、挑戰(zhàn)和解決方案。

（《電子產(chǎn)品世界》配圖）

越來越多的黑客攻擊將提高物聯(lián)網(wǎng)安全意識(shí)PSA 認(rèn)證2021 年安全報(bào)告強(qiáng)調(diào)，許多挑戰(zhàn)阻礙了設(shè)備制造商實(shí)施最佳實(shí)踐安全，包括前期成本、專業(yè)知識(shí)的缺乏和分散的監(jiān)管環(huán)境。這些挑戰(zhàn)導(dǎo)致關(guān)鍵的安全功能被忽視，不安全的設(shè)備被部署，以及成功的黑客攻擊數(shù)量不斷增加。

然而，越來越多的黑客攻擊也將提高消費(fèi)者和企業(yè)對(duì)物聯(lián)網(wǎng)安全重要性的認(rèn)識(shí)。事實(shí)上，這種態(tài)度的變化今天已經(jīng)顯現(xiàn)出來。就連通常優(yōu)先考慮產(chǎn)品功能和成本的消費(fèi)者，也開始理解在家中使用不安全設(shè)備帶來的影響：在沒有智能家居產(chǎn)品的家庭中，有三分之一出于隱私或安全考慮不打算購(gòu)買。Riscure 預(yù)測(cè)，這種日益增長(zhǎng)的（安全）意識(shí)將是2022 年的一個(gè)關(guān)鍵趨勢(shì)：“物聯(lián)網(wǎng)設(shè)備的多重安全漏洞，將引起公眾對(duì)社會(huì)日益依賴物聯(lián)網(wǎng)這種狀況的關(guān)注，以及更好地保護(hù)這項(xiàng)技術(shù)的必要性”。

不斷增加的攻擊數(shù)量和對(duì)物聯(lián)網(wǎng)安全重要性的認(rèn)識(shí)，將推動(dòng)業(yè)界采取更加積極主動(dòng)的方法。諸如信任根(RoT) 和威脅建模等基礎(chǔ)安全措施將不再被視為可選項(xiàng)。

Arm 提出，一些市場(chǎng)表現(xiàn)活躍的公司將采取超越“最佳實(shí)踐”安全性的做法?？紤]到數(shù)字化轉(zhuǎn)型和物聯(lián)網(wǎng)的日益普及，Arm 預(yù)計(jì)黑客和競(jìng)爭(zhēng)對(duì)手將繼續(xù)利用互聯(lián)系統(tǒng)。

伴隨PSA 認(rèn)證的采用在邊緣設(shè)備和工業(yè)設(shè)備上的增長(zhǎng)，確保設(shè)備在構(gòu)建時(shí)考慮到最佳實(shí)踐比以往任何時(shí)候都更重要。事實(shí)上，許多市場(chǎng)需要考慮得比“最佳實(shí)踐”更早一步，Arm 設(shè)想設(shè)備將需要一個(gè)更強(qiáng)大的PSA-RoT來對(duì)抗日益復(fù)雜的攻擊：“我們很高興看到芯片供應(yīng)商正積極采取措施，獲得PSA 二級(jí)和三級(jí)認(rèn)證”。

物聯(lián)網(wǎng)安全法規(guī)將得到加強(qiáng)

隨著黑客數(shù)量的增加和消費(fèi)者開始要求更高的安全性，我們也希望看到政府和機(jī)構(gòu)采取更多行動(dòng)來規(guī)范物聯(lián)網(wǎng)安全。已經(jīng)有幾個(gè)組織在不同地區(qū)提供關(guān)于最佳實(shí)踐或最基本要求的指導(dǎo)，并且這些指導(dǎo)越來越多地被寫入法律。CAICT（中國(guó)信通院）認(rèn)為，監(jiān)管力度加大將再次鼓勵(lì)設(shè)備制造商采取安全的設(shè)計(jì)方法。隨著各國(guó)政府強(qiáng)調(diào)數(shù)據(jù)安全和個(gè)人信息保護(hù)的重要性，相關(guān)產(chǎn)品和服務(wù)的網(wǎng)絡(luò)安全監(jiān)管也將得到加強(qiáng)。為了滿足這些合規(guī)性要求，制造商和商業(yè)服務(wù)提供商將在產(chǎn)品設(shè)計(jì)、開發(fā)和生產(chǎn)階段加大對(duì)網(wǎng)絡(luò)安全的投資。

設(shè)備制造商將不得不開始優(yōu)先考慮安全問題，但對(duì)于那些首次實(shí)施物聯(lián)網(wǎng)安全的企業(yè)來說，這將是一個(gè)挑戰(zhàn)，因?yàn)樗麄兛赡軟]有專業(yè)知識(shí)或必要的資源。對(duì)于小型企業(yè)來說尤其如此，只有41% 的員工對(duì)其公司的物聯(lián)網(wǎng)安全水平感到滿意。SGS Brightsight 和Riscure 均預(yù)計(jì)，政府和設(shè)備制造商將因此尋求物聯(lián)網(wǎng)安全框架和認(rèn)證項(xiàng)目的支持和保障，從而推動(dòng)整個(gè)價(jià)值鏈的應(yīng)用。

SGS Brightsight 表示，就網(wǎng)絡(luò)安全標(biāo)準(zhǔn)而言，2021年是忙碌的一年。2022 年在這方面也將類似，因?yàn)槲锫?lián)網(wǎng)領(lǐng)域正在引入更多的安全要求。過去已經(jīng)提出的安全要求正在穩(wěn)步執(zhí)行，其中許多概念將成為特定法規(guī)的一部分，從而為用戶采用創(chuàng)造額外的驅(qū)動(dòng)因素。Riscure表示，2022 年，物聯(lián)網(wǎng)安全認(rèn)證需求將繼續(xù)增加，政府將鼓勵(lì)這一行為，以確保基礎(chǔ)設(shè)施安全。

可信組件和可重復(fù)使用的認(rèn)證將加快部署

全球芯片短缺預(yù)計(jì)將持續(xù)至2022 年，甚至到2023年。它已經(jīng)影響了幾乎所有行業(yè)，從汽車到家電行業(yè)，造成大量產(chǎn)品生產(chǎn)的推遲或完全停止。 PSA 認(rèn)證的聯(lián)合創(chuàng)始成員TrustCB 擔(dān)心，這種短缺將迫使設(shè)備制造商放棄可信任的組件，轉(zhuǎn)而使用那些沒有建立在基礎(chǔ)信任根（RoT）上的組件。

TrustCB 表示，由于芯片短缺和其他供應(yīng)鏈問題，設(shè)備制造商將轉(zhuǎn)向從非標(biāo)準(zhǔn)來源獲取芯片。因?yàn)闆]有可信的來源，而且沒有來自硬件信任根（RoT）的認(rèn)證，制造商最終在他們的產(chǎn)品中集成了具有安全問題的偽造芯片。這些安全漏洞隨后被利用，對(duì)客戶資產(chǎn)和開發(fā)商的品牌價(jià)值造成巨大損害。

為防止這種情況的發(fā)生，增加設(shè)備制造商可以使用的可信組件的數(shù)量至關(guān)重要。認(rèn)證起著關(guān)鍵作用，因?yàn)樗蛟O(shè)備制造商證明了組件的安全性，設(shè)備制造商可以據(jù)此做出采購(gòu)決策。 獨(dú)立認(rèn)證有利于整個(gè)生態(tài)系統(tǒng)，因?yàn)樗谕ㄓ没鶞?zhǔn)對(duì)產(chǎn)品的完整性進(jìn)行了客觀衡量，從而加快產(chǎn)品上市時(shí)間，并增加客戶信心。Applus+ 建議：“隨著我們尋求更強(qiáng)大的安全性，如果要在不降低安全水平的情況下應(yīng)對(duì)芯片危機(jī)，內(nèi)部生產(chǎn)和現(xiàn)場(chǎng)認(rèn)證服務(wù)要相應(yīng)增加”。Applus+ 實(shí)驗(yàn)室表示，由于芯片短缺，許多半導(dǎo)體公司承諾提高產(chǎn)能，在全球范圍內(nèi)建立更多開發(fā)和制造基地。因此，“我們預(yù)計(jì)對(duì)現(xiàn)場(chǎng)認(rèn)證服務(wù)的需求將會(huì)更大，以確保設(shè)備得到保護(hù)并滿足當(dāng)前的安全要求”。

同樣，為了確保認(rèn)證不會(huì)阻礙物聯(lián)網(wǎng)的開發(fā)和部署，認(rèn)證組織必須讓認(rèn)證可重復(fù)使用。認(rèn)證項(xiàng)目之間更多的一致性將能夠持續(xù)對(duì)物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)進(jìn)行碎片化整理，促進(jìn)產(chǎn)品更廣泛地適用于各行業(yè)和各地區(qū)，同時(shí)降低與第三方評(píng)估相關(guān)的成本。SGS Brightsight 預(yù)計(jì)：“認(rèn)證可重用性將成為工業(yè)和消費(fèi)物聯(lián)網(wǎng)市場(chǎng)的主要趨勢(shì)”。SGS Brightsight 表示，通用微控制器(MCU) 將進(jìn)入更多應(yīng)用領(lǐng)域，有可能填補(bǔ)芯片短缺造成的一些空白。物聯(lián)網(wǎng)的安全需求越來越多，多個(gè)區(qū)域和垂直領(lǐng)域使用的單一硬件和軟件組件也越來越多，需要有效地重用這些組件的安全憑證以實(shí)現(xiàn)設(shè)備安全。VRoT（車輛信任根）就是一個(gè)例子，RoT 組件作為嵌入式控制單元(ECU) 的信任錨，也可以作為符合汽車市場(chǎng)相關(guān)標(biāo)準(zhǔn)（如ISO21434）的參考依據(jù)。可以預(yù)見到2022 年，工業(yè)、消費(fèi)和醫(yī)療設(shè)備中的可重用性趨勢(shì)。

協(xié)作是應(yīng)對(duì)新挑戰(zhàn)的關(guān)鍵

PSA 認(rèn)證2021年安全報(bào)告指出，85% 的技術(shù)決策者對(duì)在物聯(lián)網(wǎng)安全方面進(jìn)行更好的行業(yè)協(xié)作和知識(shí)共享感興趣。PSA 認(rèn)證建立在行業(yè)協(xié)作之上，被視為在整個(gè)價(jià)值鏈中實(shí)施標(biāo)準(zhǔn)化安全的主要途徑。隨著我們開始應(yīng)對(duì)從邊緣計(jì)算到5G 等技術(shù)創(chuàng)新帶來的新挑戰(zhàn)，這種協(xié)作需求只會(huì)增加。Arm 預(yù)測(cè)，這些創(chuàng)新將鼓勵(lì)來自整個(gè)生態(tài)系統(tǒng)的更多參與者與PSA 認(rèn)證合作，并受益于PSA-RoT。

Arm 表示，如果我們要解決日益增多的安全挑戰(zhàn)，協(xié)作將極其重要。超過20 家芯片公司通過構(gòu)建信任根創(chuàng)建了最佳實(shí)踐的通用語言。這徹底改變了供應(yīng)鏈，因?yàn)镺EM 和ODM 擁有大量的PSA 認(rèn)證芯片，所有這些公司都投資部署了安全最佳實(shí)踐。Arm 預(yù)計(jì)，隨著更多合作伙伴加入到更安全未來的行列中，并且OEM /ODM 在他們的設(shè)備中采用信任根（RoT），PSA 認(rèn)證隊(duì)伍將在2022 年變得更龐大。

（《電子產(chǎn)品世界》配圖）

2022年：物聯(lián)網(wǎng)安全大規(guī)模應(yīng)用之年？

雖然PSA 認(rèn)證的聯(lián)合創(chuàng)始成員對(duì)2022 年有不同的預(yù)測(cè)，但他們都有一個(gè)共同的推斷：物聯(lián)網(wǎng)安全應(yīng)用將會(huì)增長(zhǎng)。芯片短缺暴露出的不良做法，加上消費(fèi)者意識(shí)的提高和政府日益采取的行動(dòng)，將推動(dòng)這種增長(zhǎng)，并確保所有公司對(duì)物聯(lián)網(wǎng)安全采取積極主動(dòng)的態(tài)度。

PSA 認(rèn)證提供一個(gè)安全框架和全套免費(fèi)資源來指導(dǎo)安全設(shè)計(jì)和實(shí)施，從而促進(jìn)了物聯(lián)網(wǎng)安全應(yīng)用，使安全變得更易觸及。我們的愿景是，讓所有連接設(shè)備都構(gòu)建在獨(dú)立認(rèn)證的信任根（RoT）之上，所有物聯(lián)網(wǎng)設(shè)備都具有基于通用語言的可證明的安全性。實(shí)現(xiàn)這些目標(biāo)將重組生態(tài)系統(tǒng)，促進(jìn)更好的協(xié)作和物聯(lián)網(wǎng)的持續(xù)成功。

（本文來源于《電子產(chǎn)品世界》雜志2022年3月期）