如果企业没有正确的物联网安全，黑客控制敏感的个人、商业或国家信息的可能性可能会带来毁灭性的后果。

据Statista的一份报告显示，物联网正在蓬勃发展，预计到2025年全球将有750亿台设备接入互联网。但是，如果这些设备不安全，它们就有可能带来与机遇同样大的风险，整个国家的基础设施都可能受到破坏，造成毁灭性的后果。

事实上，物联网安全故障的报告比比皆是：视频门铃流未加密的数据，智能插头允许远程执行任意代码，智能家居设备存储未加密的家庭Wi-Fi网络密码，工业控制系统允许攻击者远程控制机器等等。

世界各国都意识到潜在的风险，正在采取行动缓解冲突。例如，澳大利亚今年早些时候推出了物联网行业安全自愿行为守则草案。实践守则包含13项原则草案，包括确保软件完整性、实施漏洞披露政策和尽量减少暴露的攻击面。它旨在保护数据并确保行业的弹性。

如何确保物联网的通信安全?

零信任

传统的网络安全方法是严格控制访问，但隐含地认为网络内部是一个安全的地方。一次又一次，这被证明是一个错误的假设。相反，零信任方法用验证和强大的加密保证取代了盲信任。这样做的目的是维护安全性、完整性和隐私，即使在底层基础设施受损的情况下也是如此。零信任并没有赋予网络特殊的地位，而是把它当作公共互联网一样对待。

保密

通信系统的一个基本要求是，无论是个人应用还是工业应用，第三方都不能确定通过网络发送的任何数据。所有数据都应该从生成点到传输点进行加密。端到端加密应使用具有唯一密钥材料的强大、经过充分审查和标准化的加密原语执行。建立了零信任原则，这样即使者可以访问网络管道，端到端加密也可以确保机密性。系统应该让用户易于使用加密，并在默认情况下启用它。

正直

除了确保机密性之外，攻击者不能成功篡改或伪造消息也是至关重要的。这种尝试应该可以被网络检测到。也不应该有能力重放一个记录的消息，并已成功验证。强大的加密方法(如基于哈希的消息验证)可以提供这些保护，应用于确保数据完整性。

隐私

在维护隐私方面，重要的是第三方不能有机会确定与空中传输相关的身份，也不能有能力知道消息是从一个设备还是多个设备发送的。事实上，消息和设备之间不应存在可辨别的关联，以防止有时被称为元数据攻击的行为。虽然在加密和数据完整性方面采用了强加密原理，但许多系统仍然发送未加密的识别数据。加密方法同样可以提供隐私。通过采取这些预防措施，组织还将防止有针对性的伪造企图，这可能会挫败黑客攻击特定设备或用户的努力。

可扩展性

物联网具有连接数十亿台设备的潜力，因此物联网必须具有可扩展性，不仅要确保其未来的成功，还要确保其安全性。低成本或低功耗的设备不能成为安全或隐私无效的借口。物联网行业必须满足指数增长的需求，同时支持低功耗和低成本的实施。需要实施前方安全措施，以便能够部署升级和改进，并为已经在现场的设备提供解决不可避免的安全问题的方法。

如果这个行业没有得到物联网安全的权利，黑客控制极其敏感的个人、商业或国家信息的可能性可能会产生毁灭性的后果。风险和后果是巨大的，行业必须支持实践准则草案这样的举措。我们有工具来提供一个安全和私人的物联网，我们只需要集体意志来普遍部署。