【51CTO.com快譯】“物聯(lián)網(wǎng)”這個(gè)術(shù)語誕生至今已有近二十年，但我們?nèi)悦媾R同樣的問題：“誰負(fù)責(zé)確保數(shù)十億物聯(lián)網(wǎng)設(shè)備的安全?”鑒于近期的市場進(jìn)展，你以為我們已搞清楚了這個(gè)問題，實(shí)則沒有那么簡單。

[[222608]]

雖然物聯(lián)網(wǎng)安全一直是討論的熱門話題，但它變得比以往更重要、也更具挑戰(zhàn)性。首先，運(yùn)營技術(shù)(OT)部門完全負(fù)責(zé)保護(hù)物聯(lián)網(wǎng)安全的時(shí)代已過去，之前它們將生產(chǎn)運(yùn)營和工業(yè)網(wǎng)絡(luò)與企業(yè)網(wǎng)絡(luò)和互聯(lián)網(wǎng)實(shí)現(xiàn)物理分離，常采取“通過隱匿來實(shí)現(xiàn)安全”的做法。雖然企業(yè)意識到需要將IT與OT融合起來，以支持新的使用場合、支持網(wǎng)絡(luò)和應(yīng)用程序之間開放的數(shù)據(jù)流、支持更好的業(yè)務(wù)決策、降低成本以及降低復(fù)雜性，但I(xiàn)T實(shí)踐和OT實(shí)踐的空白當(dāng)中出現(xiàn)了新的攻擊面。

其次，網(wǎng)絡(luò)犯罪分子日益暴露這些岌岌可危的攻擊面找物聯(lián)網(wǎng)下手。研究表明，由物聯(lián)網(wǎng)設(shè)備變成物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)的主體發(fā)動的DDoS(分布式拒絕服務(wù))日益猖獗。比如說，Mirai僵尸網(wǎng)絡(luò)感染了成千上萬個(gè)物聯(lián)網(wǎng)設(shè)備，讓它們得以協(xié)同開展大規(guī)模網(wǎng)絡(luò)攻擊。

第三，說到物聯(lián)網(wǎng)安全，每個(gè)垂直領(lǐng)域有所不同，一些有關(guān)鍵或關(guān)鍵任務(wù)型基礎(chǔ)設(shè)施，還有不同的監(jiān)管法規(guī)。比如在公用事業(yè)行業(yè)，美國政府最近下令采用《北美電力可靠性公司關(guān)鍵基礎(chǔ)設(shè)施保護(hù)》(NERC CIP)第5版作為網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，醫(yī)療保健行業(yè)要求遵循《健康保險(xiǎn)可攜性及責(zé)任性法案》(HIPPA)以確保數(shù)據(jù)數(shù)據(jù)安全。

雖然全球的企業(yè)IT、首席信息安全官和政府在物聯(lián)網(wǎng)安全方面發(fā)揮著核心作用，但是圍繞一系列核心需求(以滿足安全、數(shù)據(jù)保護(hù)和隱私方面的關(guān)鍵要求)達(dá)成共識，這是每個(gè)人、尤其是行業(yè)的責(zé)任。

一、從設(shè)備到行業(yè)標(biāo)準(zhǔn)

設(shè)備廠商和安全廠商對物聯(lián)網(wǎng)生態(tài)系統(tǒng)來說很重要。然而，設(shè)備廠商遲遲沒有大力搞好安全，原因是這會增加成本、復(fù)雜性和上市時(shí)間。鑒于許多廠商的安全做法明顯失策，比如將默認(rèn)名稱和密碼做入到設(shè)備中，消費(fèi)級物聯(lián)網(wǎng)設(shè)備已非常容易中招。

然而2016年爆出一系列備受矚目的消費(fèi)級物聯(lián)網(wǎng)攻擊事件后，不光各國政府在考慮監(jiān)管，更多的設(shè)備廠商也終于開始在物聯(lián)網(wǎng)安全方面有適當(dāng)?shù)耐度搿＿@些廠商采取雙管齊下的做法：保護(hù)設(shè)備免受網(wǎng)絡(luò)的影響，反之亦然。比如說，廠商現(xiàn)在可以通過使用IETF MUD標(biāo)準(zhǔn)為設(shè)備添加一道額外的安全，讓它們能夠“告訴”網(wǎng)絡(luò)該設(shè)備需要什么樣的訪問權(quán)限。這讓網(wǎng)絡(luò)得以拒絕該設(shè)備的任何異常請求。

同時(shí)，工業(yè)物聯(lián)網(wǎng)廠商在大力合作，為物聯(lián)網(wǎng)安全建立標(biāo)準(zhǔn)、互操作性和認(rèn)證。比如說，ODVA、OPC和ISA等制造標(biāo)準(zhǔn)制定機(jī)構(gòu)努力在安全方面與IEC 62443保持一致。這些標(biāo)準(zhǔn)將較高層面的針對特定垂直行業(yè)的最佳實(shí)踐與工業(yè)安全等常見要素的橫向方法結(jié)合起來。此外，IETF、工業(yè)互聯(lián)網(wǎng)聯(lián)盟(IIC)安全工作組和IEEE等組織一直在積極開發(fā)物聯(lián)網(wǎng)安全框架、標(biāo)準(zhǔn)和方法，確保不同品牌、型號和類型的互聯(lián)物聯(lián)網(wǎng)系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)安全。這將幫助企業(yè)在開發(fā)和部署物聯(lián)網(wǎng)解決方案時(shí)減小風(fēng)險(xiǎn)。

物聯(lián)網(wǎng)環(huán)境比傳統(tǒng)IT環(huán)境來得更分布式、更異構(gòu)、更復(fù)雜，而且常常規(guī)模大得多，其獨(dú)特挑戰(zhàn)使各有關(guān)方的工作變得更復(fù)雜。這把我們引到了物聯(lián)網(wǎng)安全的下一道防線：所在企業(yè)。

二、企業(yè)最佳實(shí)踐

由于廠商們奮力應(yīng)對物聯(lián)網(wǎng)安全挑戰(zhàn)，積極采用互操作性標(biāo)準(zhǔn)，各行各業(yè)的企業(yè)也要盡全力來保護(hù)物聯(lián)網(wǎng)，防止可能災(zāi)難性的網(wǎng)絡(luò)攻擊。關(guān)鍵戰(zhàn)術(shù)包括深入了解企業(yè)網(wǎng)絡(luò)、網(wǎng)絡(luò)端點(diǎn)、物聯(lián)網(wǎng)設(shè)備和云基礎(chǔ)設(shè)施。為此，考慮采用下列工具和最佳實(shí)踐：

1. 清點(diǎn)連接到網(wǎng)絡(luò)的設(shè)備和系統(tǒng)

安全團(tuán)隊(duì)通常只有將管理設(shè)備的快照視圖或過時(shí)列表作為參考。盡量使發(fā)現(xiàn)設(shè)備的過程自動化，準(zhǔn)確了解哪些設(shè)備在運(yùn)行哪些操作系統(tǒng)，迅速打上補(bǔ)丁，修復(fù)已知的安全漏洞。此外搞一個(gè)集中式平臺，可以整合所有物聯(lián)網(wǎng)項(xiàng)目，為你提供可見性(和安全性)，以便從不同系統(tǒng)之間共享的數(shù)據(jù)獲得新的價(jià)值。

2. 采用實(shí)時(shí)監(jiān)控和泄露路徑檢測

關(guān)注這類解決方案：密切監(jiān)控網(wǎng)絡(luò)流量，檢測攻擊者，跟蹤物聯(lián)網(wǎng)設(shè)備如何與網(wǎng)絡(luò)及其他設(shè)備交互。如果物聯(lián)網(wǎng)設(shè)備在掃描另一個(gè)設(shè)備，或者原本穩(wěn)定的流量模式發(fā)生變化，這很可能表明存在惡意活動。比如說，如果暖通空調(diào)系統(tǒng)與銷售點(diǎn)(POS)系統(tǒng)聯(lián)系，或者如果POS突然將數(shù)據(jù)發(fā)送到云，你可以迅速標(biāo)記出來，禁止該活動。

3. 實(shí)施網(wǎng)絡(luò)分段和基于角色的訪問控制

確保只有授權(quán)的人、機(jī)器或進(jìn)程才能訪問某些類別的設(shè)備或數(shù)據(jù)流。根本沒有理由允許暖通空調(diào)與POS聯(lián)系。為了防止這種聯(lián)系，將這些系統(tǒng)隔離在不同的網(wǎng)段上，記得定期審查分段策略、定期測試效果。

4. 培訓(xùn)員工，打造安全意識文化

你的員工(不管什么樣的角色)應(yīng)該是抵御無數(shù)威脅的第一道防線。像物聯(lián)網(wǎng)本身一樣，安全教育絕不“一勞永逸”。IT和物聯(lián)網(wǎng)面臨的另一個(gè)問題是，60%的安全威脅來自內(nèi)部。這些安全威脅中四分之一是無意的：從點(diǎn)擊網(wǎng)絡(luò)釣魚郵件中的鏈接，到不小心為未佩戴證件的人開大門。重申一下，確保物聯(lián)網(wǎng)安全是每個(gè)人的份內(nèi)事。

雖然這些最佳實(shí)踐有助于保護(hù)物聯(lián)網(wǎng)，但歸根結(jié)蒂企業(yè)要采取綜合的、基于策略的物聯(lián)網(wǎng)安全方法，將數(shù)據(jù)安全、設(shè)備安全和物理安全整合起來。這樣才能支持新型的物聯(lián)網(wǎng)使用場合，為客戶提供單一責(zé)任點(diǎn)。由于每年有數(shù)十億新設(shè)備上線，網(wǎng)絡(luò)邊界或“通過隱匿來實(shí)現(xiàn)安全”這種防御機(jī)制已無法確保物聯(lián)網(wǎng)系統(tǒng)的安全。如果我們想獲得聯(lián)網(wǎng)系統(tǒng)的全部好處，每個(gè)人都要做好份內(nèi)事。

那么，你在確保物聯(lián)網(wǎng)安全方面的角色又是什么呢?

原文標(biāo)題：IoT security: whose job is it anyway?，作者：Maciej Kranz

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】