98％的IoT流量未加密 。物聯網業務的91％是未加密的。雖然這些數字可能無法真正代表實際問題，但可以肯定的是，當絕對全部都應加密時，太多的物聯網流量無法加密。

未加密的IoT流量最明顯地意味著，攻擊者可以執行中間人（MiTM）攻擊。通過利用未加密的數據流，攻擊者可以進入設備（或設備和更大的網絡）之間，并竊取或更改數據。

物聯網安全性的失敗已得到充分記錄。制造商通常會迅速將互聯設備推向市場，這些制造商在設計過程中會很明顯但幾乎很容易避免安全性錯誤。然后，它們急切地被那些通常不考慮這些故障的企業所收購，并部署到了其他安全的網絡中。從那里，攻擊者可以通過簡單的shodan搜索發現它們，并找到企業的容易突破點。

然而，無論其安全性如何，物聯網都在蓬勃發展。麥肯錫（McKinsey）估計，到2023年，將有430億臺IoT設備連接到互聯網。如果繼續保持目前的趨勢-以及98％的IoT流量未加密，這將成為網絡犯罪分子的瘋狂飲食。

通常，當人們想到IoT黑客攻擊時-他們想到的是脆弱的玩偶或門鈴-利用設備功能進行的攻擊-有趣但最終卻很花哨。真正的威脅要少得多。企業物聯網部署通常由數百個（如果不是成千上萬個）單個設備組成，如果僅其中一個設備暴露在外，則可以為其他安全的網絡提供輕松的突破點。

人們可以在拉斯維加斯現在臭名昭著的物聯網漏洞中看到這樣的例子  。2017年，黑客利用魚缸進行了賭場搶劫。該魚缸通過傳感器連接到互聯網，該傳感器允許其操作員遠程操作和控制魚缸。但是，在安裝后不久，安全人員注意到魚缸將數據發送到芬蘭的遠程服務器。進一步的調查表明存在嚴重漏洞-黑客利用該魚缸從賭場的高額買入數據庫中竊取了10 GB的數據。

黑客發現了三個緊要點。首先，被盜信息在賭場的系統上未加密，攻擊者僅能取回。其次，賭場沒有足夠的訪問權限和身份驗證檢查，無法阻止攻擊者從該IoT設備獲取他們持有的一些最敏感的信息。最終，魚缸與賭場的更廣泛的網絡相連  -并通過利用該產品的弱點-他們可以連接并竊取大量敏感數據。

此類攻擊的后果可能會有所不同，從財務或客戶數據泄漏到對關鍵基礎架構的攻擊?？紤]一下大規模電網中斷，互聯網中斷，全國衛生系統關閉以及獲得重癥監護所造成的損害。清單繼續。

物聯網還是沒有物聯網–所有機密數據都必須加密。所有這些–高于0％的任何值都是不可接受的。您可能可以在這里和那里為錯誤留一些余地-但是任何未加密的數據都容易受到破壞。

這并不是說它沒有自身的挑戰?，F代數據的本質是，它一直在不斷變化-從集線器到網關，從網關到云，再往后發展。這使得事情變得更加復雜，因為在靜止和飛行中都必須對數據進行加密。

對于企業物聯網網絡尤其如此，企業物聯網網絡通常由一系列不同的端點，傳感器和設備構成，不斷在其不同部分之間來回發送數據。該網絡中的一個漏洞可以讓攻擊者進入，不僅使其成為一個特別敏感的區域，而且對于修復它也至關重要。 

具有數字證書的公鑰基礎結構（PKI）開始解決該問題。由于PKI可以在大型網絡的各個節點之間提供相互身份驗證并加密遍歷整個網絡的數據，因此適用于IoT的規模很大，企業開始將其用作保護其大型IoT部署的一種方法。

盡管該行業正在取得進步，領先的公司，從業人員和監管機構正在采取措施共同努力，并改善這些設備的安全狀況-我們還有很長的路要走。我們需要更多的制造商來優先考慮安全性并實施最佳實踐-加密，身份驗證和完整性（僅舉幾例）-并且實施不能是增量的。

大規模加密是企業保護IoT流量所需要的。領先的制造商正在注意并實施PKI。

責任編輯：周星如