Bob Violino

物聯(lián)網(wǎng)的優(yōu)勢(shì)非常巨大，而下列步驟可以幫助我們?cè)谳^低安全風(fēng)險(xiǎn)下獲取這些優(yōu)勢(shì)。

物聯(lián)網(wǎng)（IoT）已經(jīng)為企業(yè)描繪出了許多美麗的前景，包括豐富的數(shù)據(jù)供應(yīng)，而這些數(shù)據(jù)可以讓企業(yè)更高效地為客戶服務(wù)。但盡管如此，企業(yè)還是有著諸多顧慮。

因?yàn)橛泻芏嗟脑O(shè)備、產(chǎn)品、資產(chǎn)、交通工具、建筑等都將被連接，這就存在著黑客和網(wǎng)絡(luò)不法分子嘗試?yán)闷渲械穆┒催M(jìn)行入侵并加以惡意利用的可能性。

研究與咨詢公司ITIC首席分析師Laura DiDio稱：“在物聯(lián)網(wǎng)生態(tài)環(huán)境中，形形色色的設(shè)備、應(yīng)用和人通過(guò)五花八門(mén)的連接機(jī)制被連接在一起，攻擊向量或攻擊面可能將變得不計(jì)其數(shù)?！?/p>

“從網(wǎng)絡(luò)邊緣/周界到企業(yè)服務(wù)器和主要業(yè)務(wù)應(yīng)用，再到終端用戶設(shè)備乃至傳輸機(jī)制，網(wǎng)絡(luò)中的任何一個(gè)節(jié)點(diǎn)都容易受到攻擊。這些節(jié)點(diǎn)中的任意一個(gè)甚至所有節(jié)點(diǎn)都可能會(huì)被惡意利用。”

因此，物聯(lián)網(wǎng)安全成了許多企業(yè)關(guān)注的重點(diǎn)。研究公司451 Research近期對(duì)全球600多名IT決策者展開(kāi)了一項(xiàng)在線調(diào)查。當(dāng)受訪者被要求針對(duì)現(xiàn)有的或規(guī)劃中的物聯(lián)網(wǎng)方案對(duì)企業(yè)優(yōu)先考慮的技術(shù)或流程進(jìn)行排名時(shí)，55%的受訪者將物聯(lián)網(wǎng)安全作為其首要任務(wù)。報(bào)告指出，物聯(lián)網(wǎng)的本質(zhì)使得防范攻擊變得尤其具有挑戰(zhàn)性。

企業(yè)可以采取什么措施來(lái)加強(qiáng)物聯(lián)網(wǎng)環(huán)境的安全性呢？以下是行業(yè)專家給出的一些最佳實(shí)踐。

識(shí)別、追蹤和管理終端設(shè)備

在不知道哪些設(shè)備被連接以及沒(méi)有追蹤它們的行為的情況下，確保這些終端的安全非常困難甚至是不可能的。

市場(chǎng)研究公司Gartner的研究總監(jiān)Ruggero Contu稱：“這是一個(gè)關(guān)鍵領(lǐng)域。對(duì)企業(yè)來(lái)說(shuō)，一個(gè)關(guān)鍵問(wèn)題是要獲得對(duì)智能接入設(shè)備的完全可視性。這是一個(gè)對(duì)操作和安全方面都有關(guān)系的要求。”

IDC數(shù)據(jù)安全實(shí)踐部門(mén)研究主管Robert Westervelt稱：“對(duì)于一些企業(yè)來(lái)說(shuō)，發(fā)現(xiàn)和識(shí)別更多的是資產(chǎn)管理問(wèn)題而非安全問(wèn)題。在這一領(lǐng)域中，網(wǎng)絡(luò)訪問(wèn)控制與編排廠商正在通過(guò)添加安全連接組件和監(jiān)測(cè)潛在威脅征兆等措施讓他們的產(chǎn)品能夠有針對(duì)性地解決這一問(wèn)題?！?/p>

DiDio指出，企業(yè)應(yīng)當(dāng)擁有一張包含了物聯(lián)網(wǎng)網(wǎng)絡(luò)中所有設(shè)備的完整清單，并搜索那些可能存在后門(mén)或開(kāi)放端口的被遺忘設(shè)備。

在發(fā)現(xiàn)安全漏洞后及時(shí)修補(bǔ)

物聯(lián)網(wǎng)專家、咨詢公司IP Architects總裁John Pironti指出，及時(shí)進(jìn)行修補(bǔ)是良好的IT安全防護(hù)的基本理念之一。

Pironti 稱：“如果出現(xiàn)了一個(gè)針對(duì)某個(gè)物聯(lián)網(wǎng)設(shè)備的安全補(bǔ)丁，那么這一定是一個(gè)得到了設(shè)備廠商確認(rèn)的漏洞，及時(shí)打上補(bǔ)丁就是及時(shí)進(jìn)行補(bǔ)救。一旦廠商發(fā)布了補(bǔ)丁，那么問(wèn)題的責(zé)任就由廠商轉(zhuǎn)移到了使用該設(shè)備的企業(yè)身上?！?/p>

Westervelt表示，使用漏洞與配置管理可能會(huì)有一定的意義，漏洞掃描產(chǎn)品在一些情況下會(huì)提供相關(guān)的補(bǔ)丁。然后要做的事是打上補(bǔ)丁進(jìn)行修補(bǔ)。但是，他指出，“與為企業(yè)打補(bǔ)丁相比，配置管理有可能會(huì)成為一個(gè)更大的漏洞?！?/p>

一定要記住物聯(lián)網(wǎng)補(bǔ)丁管理非常困難，這一點(diǎn)非常重要，Contu強(qiáng)調(diào)稱。“這也是為什么執(zhí)行一套完整的資產(chǎn)發(fā)現(xiàn)流程以識(shí)別企業(yè)可能在哪里存在漏洞非常重要的原因。不可能總會(huì)找到現(xiàn)成的相關(guān)補(bǔ)丁，因此有必要尋求備份的措施和方案來(lái)確保安全性?！北O(jiān)控網(wǎng)絡(luò)流量就是對(duì)無(wú)法獲取相關(guān)補(bǔ)丁的一種彌補(bǔ)措施，Contu說(shuō)。

優(yōu)先考慮最具價(jià)值的物聯(lián)網(wǎng)基礎(chǔ)設(shè)施安全

物聯(lián)網(wǎng)世界中所有的數(shù)據(jù)并不都是平等的。Pironti 稱：“對(duì)于物聯(lián)網(wǎng)安全，要采取基于風(fēng)險(xiǎn)的解決方案，以確保高價(jià)值資產(chǎn)被優(yōu)先對(duì)待，并根據(jù)它們對(duì)公司的價(jià)值和重要性予以保護(hù)。這一點(diǎn)非常重要?！?/p>

公司可能要不得不應(yīng)對(duì)海量的物聯(lián)網(wǎng)設(shè)備。與以前應(yīng)對(duì)的傳統(tǒng)IT設(shè)備相比，這些物聯(lián)網(wǎng)設(shè)備正在以指數(shù)級(jí)方式增長(zhǎng)。Pironti稱：“認(rèn)為所有這些設(shè)備都能夠在一個(gè)較短時(shí)間內(nèi)被打上補(bǔ)丁的想法往往是不現(xiàn)實(shí)的?！?/p>

在物聯(lián)網(wǎng)軟硬件部署前進(jìn)行滲透測(cè)試

如果將這一工作外包給服務(wù)提供商或咨詢公司，一定要明確需要進(jìn)行什么類型的滲透測(cè)試。

Westervelt稱：“我要求滲透測(cè)試人員在進(jìn)行網(wǎng)絡(luò)滲透測(cè)試的同時(shí)要確保網(wǎng)絡(luò)分段的完整性。一些環(huán)境還需要對(duì)無(wú)線基礎(chǔ)設(shè)施進(jìn)行評(píng)估。我認(rèn)為除了一些特殊的情況外，目前在物聯(lián)網(wǎng)中應(yīng)用滲透測(cè)試的優(yōu)先等級(jí)要相對(duì)低一些?！?/p>

Contu認(rèn)為滲透測(cè)試應(yīng)當(dāng)成為風(fēng)險(xiǎn)評(píng)估項(xiàng)目的一部分。他稱：“我們預(yù)測(cè)與這些行為有關(guān)的安全認(rèn)證需求會(huì)越來(lái)越多。”

如果真的發(fā)生了與物聯(lián)網(wǎng)有關(guān)的攻擊，要立即做好采取行動(dòng)的準(zhǔn)備。DiDio 稱：“制訂一個(gè)安全響應(yīng)計(jì)劃，并針對(duì)攻擊進(jìn)行相應(yīng)的指導(dǎo)和管控。要建立起一條責(zé)任與指揮鏈，以防被成功入侵?！?/p>

了解物聯(lián)網(wǎng)與數(shù)據(jù)交互的方式以識(shí)別異常情況，保護(hù)個(gè)人信息

Westervelt稱，我們可能會(huì)將重點(diǎn)放在確保傳感器數(shù)據(jù)的收集與匯聚的安全性上。根據(jù)設(shè)備即將被部署的地點(diǎn)和設(shè)備風(fēng)險(xiǎn)預(yù)測(cè)，這需要網(wǎng)絡(luò)安全和物理反篡改功能。

他稱：“根據(jù)收集到的數(shù)據(jù)的敏感性，可能需要硬件和/或軟件加密以及PKI（公鑰基礎(chǔ)設(shè)施）以驗(yàn)證設(shè)備、傳感器和其他組件。根據(jù)設(shè)備的功能，如POS系統(tǒng)等其他物聯(lián)網(wǎng)設(shè)備可能需要白名單、操作系統(tǒng)限制和反惡意軟件?！?/p>

不要使用默認(rèn)的安全設(shè)置

在一些情況下，公司將會(huì)根據(jù)自己面臨的安全情況選擇相應(yīng)的安全設(shè)置。

Westervelt 稱：“如果某個(gè)網(wǎng)絡(luò)安全設(shè)備被應(yīng)用到一個(gè)關(guān)鍵節(jié)點(diǎn)，那么一些企業(yè)可能會(huì)選擇僅以被動(dòng)模式部署該設(shè)備。記住，在工業(yè)生產(chǎn)過(guò)程中，雖然我們看到物聯(lián)網(wǎng)傳感器和設(shè)備正在被部署，但是誤報(bào)也可能極其嚴(yán)重。阻止一些重要的事情進(jìn)行可能會(huì)導(dǎo)致爆炸，甚至引發(fā)工業(yè)機(jī)械停工，這些代價(jià)都是極為昂貴的?！?/p>

修改安全設(shè)置也適用于那些通過(guò)物聯(lián)網(wǎng)接入的設(shè)備。例如，已經(jīng)出現(xiàn)了通過(guò)入侵?jǐn)?shù)百萬(wàn)臺(tái)使用默認(rèn)設(shè)置的視頻攝像頭發(fā)起的分布式拒絕服務(wù)攻擊。

提供安全的遠(yuǎn)程訪問(wèn)

Westervelt指出，遠(yuǎn)程訪問(wèn)漏洞一直是攻擊者所喜愛(ài)的目標(biāo)，而在物聯(lián)網(wǎng)中，許多企業(yè)正在想辦法讓合同商能夠遠(yuǎn)程訪問(wèn)一些特定的設(shè)備。

Westervelt 稱：“企業(yè)必須要確保提供遠(yuǎn)程訪問(wèn)的所有解決方案在使用時(shí)都已被正確配置，并且有相應(yīng)的機(jī)制在適當(dāng)?shù)奈恢媚軌虮O(jiān)控、許可和撤消遠(yuǎn)程訪問(wèn)。在一些高風(fēng)險(xiǎn)環(huán)境中，如果要考慮遠(yuǎn)程訪問(wèn)軟件，那就應(yīng)當(dāng)徹底檢查所有的漏洞?！?/p>

對(duì)網(wǎng)絡(luò)進(jìn)行分段以確保設(shè)備間的通信安全

Pironti稱，在網(wǎng)絡(luò)中對(duì)物聯(lián)網(wǎng)設(shè)備進(jìn)行分隔可以讓企業(yè)在發(fā)現(xiàn)設(shè)備有惡意行為時(shí)限制它們的影響范圍。

他稱：“一旦惡意行為被識(shí)別為來(lái)自某臺(tái)物聯(lián)網(wǎng)設(shè)備，那么在被調(diào)查和修復(fù)前，可以斷開(kāi)該臺(tái)設(shè)備與網(wǎng)絡(luò)中其他設(shè)備的通信?！?/p>

Pironti指出，在分隔物聯(lián)網(wǎng)設(shè)備時(shí)，重要的是要在物聯(lián)網(wǎng)網(wǎng)段和其他網(wǎng)段之間實(shí)現(xiàn)一個(gè)檢測(cè)要素或檢測(cè)層以創(chuàng)建一個(gè)通用檢測(cè)點(diǎn)。在這個(gè)檢測(cè)點(diǎn)，企業(yè)可以決定哪些類型的流量允許在網(wǎng)絡(luò)之間流動(dòng)，以及對(duì)流量進(jìn)行有意義的重點(diǎn)檢查。

這使得企業(yè)能夠僅針對(duì)特定的流量類型和典型的物聯(lián)網(wǎng)設(shè)備行為指導(dǎo)檢測(cè)行為，而不用對(duì)所有的流量類型都進(jìn)行解釋說(shuō)明，Pironti說(shuō)。

關(guān)注企業(yè)員工和安全策略

物聯(lián)網(wǎng)并不僅僅是要確保設(shè)備和網(wǎng)絡(luò)的安全。DiDio指出，在確保物聯(lián)網(wǎng)生態(tài)系統(tǒng)安全的過(guò)程，人員因素也非常關(guān)鍵。

她說(shuō)：“安全性有一半在于設(shè)備和保護(hù)、追蹤與認(rèn)證機(jī)制，另一半則在于管理和監(jiān)督物聯(lián)網(wǎng)生態(tài)系統(tǒng)的人的責(zé)任心。從高級(jí)主管到IT部門(mén)、安全管理員和終端用戶，所有的利害關(guān)系人都必須要全部參與到抵御攻擊保護(hù)物聯(lián)網(wǎng)生態(tài)系統(tǒng)安全的行動(dòng)中。這是非常必要的?！?/p>

此外，還要對(duì)現(xiàn)有的企業(yè)計(jì)算機(jī)安全策略和程序進(jìn)行評(píng)估和更新。DiDio 稱：“如果企業(yè)的策略是在一年之前制定的，那么它們已經(jīng)過(guò)時(shí)并需要針對(duì)物聯(lián)網(wǎng)部署進(jìn)行修訂。確保企業(yè)的計(jì)算機(jī)安全策略和程序?qū)τ诘谝淮?、第二次和第三次違反行為的處罰措施有著清楚而詳細(xì)的規(guī)定。這里面要包括從第一次違反時(shí)的警告到重復(fù)違反時(shí)的解雇等方方面面的所有東西?！?/p>

本文作者Bob Violino為計(jì)算機(jī)世界、CIO、CSO、信息世界和網(wǎng)絡(luò)世界等網(wǎng)站的特約撰稿人。

原文網(wǎng)址

https：//www.networkworld.com/article/3269165/internet-of-things/a-corporate-guide-to-addressing-iot-security-concerns.html