12.4 数字世界日益密切联系

社会上最明显的趋势之一是数字连接设备的快速持续增长。正如我们整本书多次说到的，我们社会几乎每一个方面都与数字连接设备和软件相关联，从无害的生活用品（例如：家庭设备、智能手表和医疗设备等）到关键基础设施和军事系统。

大部分传统连接是由服务器、终端和移动设备等计算设备驱动的，随着物联网的惊人增长，这一趋势也呈指数级加速。物联网（IoT）设备通常被定义为连接到互联网并且有能力传输数据的物体，物联网设备包含无线传感器、家用物品、工业工具和制造设备等。

在现代社会中，几乎无限数量和种类的设备是可以连接。促进连接设备增长因素很多，包括低成本传感技术、云计算和创新的网络协议。我们还看到所谓工业物联网（IIoT）的巨大增长。IIoT利用云、分析和机器学习为各种使用环境助力，如智能制造、城市、电网和数字供应链。

这种连接为分析、效率、创新带来了巨大潜力，这在以前我们未连接的世界中是不可能实现的。这种广泛的连接也带来了新的商业模式和收入来源，提高了效率和运营，甚至在个人环境中提供了更高的生活质量。然而，也带来了我们前所未见的指数级和系统性风险。

与物联网设备相关的常见安全挑战包括硬编码和弱凭证、缺乏定期和及时的固件更新，以及组织使用的物联网设备在覆盖范围上是有限总体可见的。

正如我们从Verizon的数据泄露报告等来源看到的，泄露凭证是恶意行为者常用的攻击媒介。这对于许多物联网（IoT）和操作技术（OT）设备来说并不乐观，因为这些设备通常使用制造商提供的默认凭证，这使得它更容易成为恶意行为者的目标。物联网设备的另一个常见挑战是缺乏定期的固件更新，甚至恶意行为者会破坏传递到物联网设备的补丁和软件更新包。考虑到物联网覆盖范围及规模的日益增长，很容易看到其增长将会加剧与软件供应链相关的挑战，以及一个被破坏的补丁如何能产生巨大影响。

一些消息预计，到2022年底，将会有超过130亿个连接设备，这一数字预计在2025年将增长到多达750亿个。随着连接设备数量的激增，政府和监管机构难以跟上步伐。尽管如此，也正在进行一些努力——试图改进对物联网设备的监管，重点关注隐私和网络安全，但主要集中在前者。

一个名为“Which?”的英国消费者权益组织在2023年发布了他们的调查结果，指出许多领先的智能设备制造商可能在短短几年后就放弃对设备的软件支持。该组织指出，这不仅对“智能“设备的操作支持和使用寿命构成担忧，还会由于这些设备在社会中的广泛使用并且在生命周期内缺乏数字支持而带来安全风险。

观察欧盟和美国，可以看到一些与隐私和网络安全相关的监管努力正在进行中，其中一些是针对物联网（IoT）的，另一些虽然范围较广但仍适用于物联网。在欧盟的消费者隐私方面，最显著的是《通用数据保护条例》（GDPR），该条例于2018年在欧盟和英国生效。GDPR侧重于个人数据如何被管理，并围绕公平、合法和透明的关键原则提供框架。

虽然GDPR是基于欧盟的，但如果一些组织掌控了欧盟公民的数据，GDPR也适用于欧盟以外的组织。我们之前讨论过欧盟正在出台的《网络韧性法案》。该法案要求制造商在设计和生产过程中实施安全措施，并提供对涉及设备（包括物联网设备）的软件组件的可见性。

在美国，最近的努力集中在为物联网（IoT）设备创建网络安全标签计划（www.nist.gov/itl/executive-order-14028-improving-nations-cybersecurity/cybersecurity-labeling-consumers-0）。该计划针对美国消费者，旨在像欧盟的《网络韧性法案》一样，提高透明度并为消费者提供更好的信息以便他们在购买和使用产品时能做出更好的安全选择。这也旨在激励物联网设备制造商在产品开发过程中考虑安全性。白宫建立推动本书中讨论的《网络安全行政命令》（EO），与一些行业最大的互联网设备制造商进行了讨论和合作，以推动这一努力。截至本文撰写时，网络安全标签计划计划于2023年春季发布。（www.whitehouse.gov/briefing-room/statements-releases/2022/10/20/statement-by-nsc-spokesperson-adrienne-watson-on-the-biden-harris-administrations-effort-to-secure-household-internet-enabled-devices）

除了网络安全标签计划，NIST还拥有一个强大的物联网网络安全计划，提供标准、指导和相关工具。这包括物联网设备制造商的信息，以及寻求使用物联网设备的联邦机构和消费者的信息。2022年秋，美国商务部任命了一个物联网咨询委员会，以帮助推动物联网领域的安全工作，并根据专业知识和行业经验提供关键见解和建议。（www.nist.gov/itl/applied-cybersecurity/nist-cybersecurity-iot-program）

另一个显著的例子来自2023年由拜登签署的拨款法案，特别是第3305节，其中包括要求互联网连接医疗设备制造商合理确保设备及其相关系统网络安全的条款。具体要求包括监控、识别和解决设备中的网络安全漏洞，并提供上市后的更新和补丁解决漏洞。对需要满足这些要求的设备将由食品和药物管理局（FDA）监督。（www.congress.gov/117/bills/hr2617/BILLS-117hr2617enr.pdf）

很容易看出物联网在社会中的增长，几乎应用于每个行业以及专业和个人环境中，为攻击面的大规模增长打开了大门，并为希望通软件供应链攻击和破坏的恶意行为者提供了机会。这些物联网设备由软件驱动，广泛存在于社会中，预计将有巨大的增长，无论是作为供应商还是消费者，从网络安全角度对其关注较少。我们预计 2023 年拨款法案中的规定以及与物联网设备使用安全和软件相关的规定将继续发展。