扩大公司的安全计划，他面临的第一个挑战之一是如何知道一个新设备连接到网络时。

Wright表示:“确定我的网络上有什么是一个问题，因为一旦有东西进入你的网络——无论它是如何进入的——你并不总是知道它在那里。

虽然生物，金属和合成植入物的供应商说有脆弱性评估和渗透测试为了揭示安全漏洞，他们很少每天都会发生，更不用说到一分钟甚至每小时。

Wright说:“我需要找到一种方法来做到这一点，而不需要将自己埋入大量定制应用程序或定制代码中。

在参加各种安全会议和探索物联网安全公司时，赖特听说了一家名为Pwnie Express的公司，这家总部位于波士顿的公司帮助企业检测其网络上的设备可能会造成威胁。在研究PWNIE的技术后，Wright决定对他想做的事情有益。

他说:“它确实让我看到了漏洞，因为它位于我的网络和无线网络上，可以告诉我蓝牙设备正在进入我的网络，而我不一定知道它们的存在。”

随着连接设备的数量继续飙升，所以的数量也是如此物联网安全挑战。

最大的问题是，大多数这些连接设备，如打印机、智能恒温器、医疗设备，甚至咖啡壶，那输入企业不安全。

为了确保物联网的安全，你需要做的第一件事就是列出清单……所以你知道你需要保护什么。

“为了保护事情需要做的第一件事之一是做一个库存 - 知道你连接的东西或者与你有什么关系，所以你知道你需要保护什么，”约翰说Pescatore, director of emerging security trends at SANS Institute in Washington, D.C. "That's mostly what Pwnie Express does -- and that's very key."

Pwnie Express的软件即服务设备检测平台，脉冲该营销副总裁Dimitri Vlachos表示，为企业提供完整的网络设备的信息。

“我们允许你进入并发现你的网络和领空中的每一个设备;我们研究无线技术，研究蓝牙技术，研究蜂窝网络。”“我们能够看到你的网络或环境中的所有设备，并有可能与你的网络交互。”

PWNIE不断跟踪所有设备，扫描它们，看看是否具有漏洞，根据Vlachos。然后是公司的威胁检测分析确定可信设备和不可信设备之间是否存在不应该发生的连接。

Wright说RTI外科通过概念上的验证阶段与PWNIE的技术在2016年第一季度，现在该公司在美国和国外的14个地点靠近全面部署。

“在第一次日子里，它已经清到了我的一个较小的网络之一，我看到所有这些设备都在那里没有人知道在那里，”他说。“现在想象一下，如果这些是坏人 - 他们坐在我的网络上几年只要推出防火墙，没有人知道他们甚至存在。”

例如，Pwnie在RTI的网络上发现了一个运行Linux操作系统的“小奇怪设备”。在仔细观察后，赖特意识到，在精确的气候控制至关重要的建筑物中，空调系统是由这个装置运行的。

“这对我们来说是一件大事。如果有人关闭一些冷却器或破坏温度呢?”他问道。“也许他们这么做是为了破坏组织。当你的组织被破坏时，对那些期待组织在那里或那些设备准备好的人有负面影响。”

佩斯卡托雷说，了解什么连接到一个网络，并了解漏洞在哪里，可以让RTI这样的公司修复或保护这些漏洞，使其自己的设备不能被用于攻击。

这给我们留下了快速扩展的物联网空间，用于规模、成本削减和便利，没有接口、控制和生命周期管理标准，但存在重大安全漏洞。

由于数十亿物体成为网络启用，企业也在寻找IOT安全公司，以帮助他们不仅识别而且验证设备连接到物联网，这样这些设备可以安全地相互通信。

“IT人员和安全系统通常不熟悉他们用来通信的技术和协议，所以他们在保护和管理这些技术和协议方面准备不足，”位于科罗拉多州博尔德的企业管理联合公司的安全和风险管理研究总监大卫·莫纳汉说。“这给我们留下了快速扩展的物联网空间，用于规模、成本削减和便利，没有接口、控制和生命周期管理标准，但存在重大安全漏洞。”

物联网安全公司开始进行物联网认证

Pescatore说，Pwnie专注于设备发现，其他物联网安全公司，如Rubicon Labs Inc.和device Authority Ltd.，专注于物联网安全的识别和认证方法。

他说:“设备授权和Rubicon Labs的策略更侧重于确保设备不受攻击，而认证方面则是确保连接到你的东西都是你授权的。”

Pescatore承认这是一个比发现部分更难以的任务。

总部位于旧金山的Rubicon Labs提供基于云的服务密钥发放和密钥保护平台用于保护IoT设备和它们生成的数据。它的方法依赖于在设备存储器中配置“Vault”的系统。用于保护此保险库的密钥是单向散列的结果，使得键从未出现在内存中。因此键是有效的“隐形”虽然仍然保护授权用户的秘密。根据该公司的说法，使用这些“零知识钥匙”的使用是通过发件人，接收者和黑客看不见的。

“该公司已经开发了一种使用加密术的新方法来强烈地认证IoT设备并加密它们生成的数据，所有内部都在大多数IOT设备的技术限制的范围内，”通过451研究读取报告。

卢比孔河实验室允许每个设备被唯一识别和授权，甚至最小的微控制器Rubicon Labs产品副总裁罗德•舒尔茨(Rod Schultz)表示，在美国，没有其他设备可以接入一家公司的网络。他还补充说，Rubicon Labs技术的一个用例是在医疗领域。

“我们看到很多需要加密和保护正在运行和在小型医疗设备上生成的数据和软件，”Schultz说。“所以胰岛素泵，心脏监测器，任何类似的东西，因为今天的工具攻击是那里的，攻击的动机就在那里。我们正在寻找保护这些设备。”

舒尔茨表示，卢比肯实验室也在与汽车领域的公司进行洽谈。

“您有10或15年前在Automotive中设计的系统，假设[Car]在岛屿上，并且基于没有人可以与之沟通的事实是安全的，”他说。“但是当你开始连接像汽车这样的车辆，你永远不会首先连接到网络，你有一个问题。”

其他物联网安全公司拥有其他IOT身份验证的方法。伦敦的设备管理局keyscaler平台让客户通过旨在保护IOT应用程序和服务的主动，基于策略的安全控制来安全地注册，配置和更新其设备。

“KeyScaler平台可以动态创建密钥，而不必将密钥存储在任何地方，”Device Authority预售总监Robert Dobson说。

“这是一件非常强大的事情，”他说。“你不需要储存任何钥匙;你基本上减少攻击面。你试图缩小某人访问你数据的可能性。这意味着我们可以在设备上动态地生成密钥。这是一个基于会话的密钥。所以在会话的持续时间里，我们有一个唯一的密钥，一旦会话被拆除，你想要建立另一个会话，你就会生成另一个密钥。”

多布森表示，设备权威机构正在从整体角度考虑保护物联网，并试图保护从终端到云计算的所有数据。

“什么是关键是您如何安全地向您的后台服务器平台挂载设备，以便您知道连接到平台的设备是它所说的，有人没有欺骗设备，并尝试损坏你的系统，“他说。

然后，企业面临的挑战是如何管理谁可以访问其云平台中的数据，以及这些数据以何种粒度提供给哪些人。

多布森说:“因此，你必须围绕如何以及谁可以获得这些数据制定政策。”

Monahan表示，Device Authority以数据为中心的方法对其物联网安全平台的好处非常简单。

“一旦设备已经过身份验证，以便知道数据来自验证的源，可以使用a加密数据对称密钥算法,”他说。“所以没有中间人攻击可以杠杆化，也不能被未经授权的派对读取。“