近年來(lái)，消費(fèi)市場(chǎng)的物聯(lián)網(wǎng)(IoT)設(shè)備呈爆炸式增長(zhǎng)，預(yù)計(jì)到2020年全球物聯(lián)網(wǎng)設(shè)備的使用量將達(dá)到240億臺(tái)。物聯(lián)網(wǎng)設(shè)備不斷增加，隱私和敏感數(shù)據(jù)丟失等安全問(wèn)題引發(fā)擔(dān)憂。智慧城市、企業(yè)也會(huì)捕獲物聯(lián)網(wǎng)中有價(jià)值的數(shù)據(jù)。攻擊者擅長(zhǎng)利用易受攻擊的聯(lián)網(wǎng)設(shè)備作為切入點(diǎn)，訪問(wèn)網(wǎng)絡(luò)內(nèi)的敏感數(shù)據(jù)。

[[234025]]

以色列物聯(lián)網(wǎng)安全公司 SecuriThings 的營(yíng)銷副總裁尤塔姆·古特曼表示，物聯(lián)網(wǎng)設(shè)備的安全性在變得更好之前會(huì)越來(lái)越糟。

企業(yè)面臨的物聯(lián)網(wǎng)安全挑戰(zhàn)

每天都有大量新的設(shè)備聯(lián)網(wǎng)，大規(guī)模攻擊將使得個(gè)人、企業(yè)和監(jiān)管機(jī)構(gòu)要求物聯(lián)網(wǎng)服務(wù)提供商提供更具安全性的產(chǎn)品。在這一過(guò)程中，若存在成熟的安全解決方案，這些方案可能規(guī)模化以降低威脅。在與企業(yè)意識(shí)和預(yù)算充足的情況下，企業(yè)便能有效降低安全風(fēng)險(xiǎn)。

古特曼表示，企業(yè)面臨著諸多物聯(lián)網(wǎng)安全挑戰(zhàn)，其最突出的挑戰(zhàn)是對(duì)如何采用安全性策略缺乏意識(shí)。IT 人員的職責(zé)是保護(hù)涉及參數(shù)的 IT 系統(tǒng)，而物聯(lián)網(wǎng)設(shè)備直接與云對(duì)話，這是一個(gè)截然不同的環(huán)境。他擔(dān)心，部分組織機(jī)構(gòu)會(huì)認(rèn)為物聯(lián)網(wǎng)安全影響 IoT 設(shè)備的運(yùn)作方式。同樣，企業(yè)與安全提供商之間的信任有時(shí)也存在不確定性。

除此之外，企業(yè)還應(yīng)要求部署安全機(jī)制的服務(wù)提供商提供可見(jiàn)性解決方案，使其能了解設(shè)備內(nèi)發(fā)生的情況，以便在其遭受感染時(shí)，將其斷網(wǎng)并移除。

[[234026]]

以下為古特曼給出的保護(hù) IoT 設(shè)備的相關(guān)建議：

保護(hù)企業(yè)物聯(lián)網(wǎng)安全之8大策略

1. 僅在必要時(shí)聯(lián)網(wǎng)

智能設(shè)備的具體安全準(zhǔn)則是：不必要對(duì)互聯(lián)網(wǎng)開(kāi)放時(shí)，則不聯(lián)網(wǎng)。例如，恒溫器在本地可運(yùn)行時(shí)就可以不用連接到互聯(lián)網(wǎng)。

2. 將基本的 IT 安全程序應(yīng)用到物聯(lián)網(wǎng)安全

管理用戶訪問(wèn)設(shè)備、使用強(qiáng)密碼和用戶名的流程，避免使用設(shè)備的默認(rèn)設(shè)置和密碼。

3. 勿忽視由第三方托管或安裝的 IoT 設(shè)備

企業(yè)經(jīng)常會(huì)通過(guò)物聯(lián)網(wǎng)服務(wù)提供商安裝和操作物聯(lián)網(wǎng)設(shè)備(例如遠(yuǎn)程安全監(jiān)控)。然而，這些設(shè)備可能會(huì)導(dǎo)致隱私泄露和安全事件，因此，企業(yè)有必要對(duì)這些設(shè)備進(jìn)行監(jiān)控，即使這些設(shè)備在技術(shù)上將并不屬于企業(yè)(這種情況下，責(zé)任在于物聯(lián)網(wǎng)服務(wù)提供商)。

4. 內(nèi)部威脅不容忽視

物聯(lián)網(wǎng)也可能會(huì)被內(nèi)部工作人員利用，以收集敏感數(shù)據(jù)，因此企業(yè)需采用嚴(yán)格的訪問(wèn)管理流程，監(jiān)控用戶、管理員和技術(shù)人員的行為。

5. 考慮隱私問(wèn)題

物聯(lián)網(wǎng)設(shè)備可收集極其敏感的信息、錄像、錄音等，因此在部署物聯(lián)網(wǎng)設(shè)備時(shí)應(yīng)當(dāng)考慮隱私和和法律問(wèn)題。

6.  實(shí)時(shí)監(jiān)控

實(shí)時(shí)監(jiān)控，隨后進(jìn)行調(diào)查和采取補(bǔ)救措施。物聯(lián)網(wǎng)安全解決方案應(yīng)當(dāng)允許企業(yè)實(shí)時(shí)識(shí)別黑客攻擊嘗試，并對(duì)其進(jìn)行阻止和調(diào)查。

7. 制定物聯(lián)網(wǎng)安全事件應(yīng)急響應(yīng)計(jì)劃

像 IT 安全一樣，組織機(jī)構(gòu)需要制定物聯(lián)網(wǎng)安全計(jì)劃。然而與 IT 安全不同的是，入侵物聯(lián)網(wǎng)設(shè)備可能會(huì)產(chǎn)生現(xiàn)實(shí)的影響，因此企業(yè)必須制定應(yīng)急計(jì)劃，以便在事件發(fā)生時(shí)迅速采取行動(dòng)。

例如，物聯(lián)網(wǎng)設(shè)備在遭遇感染時(shí)，提前考慮“是否應(yīng)斷開(kāi)設(shè)備?是否應(yīng)重啟設(shè)備?如果某些設(shè)備在執(zhí)行關(guān)鍵任務(wù)，是否應(yīng)讓設(shè)備在線，直到被替換?”等等問(wèn)題。

8. 讓利益相關(guān)者參與計(jì)劃階段

維護(hù) IT 安全是首席信息官(CIO)/IT 部門的職責(zé)，而物聯(lián)網(wǎng)則涉及業(yè)務(wù)、運(yùn)營(yíng)、IT 基礎(chǔ)設(shè)施、物理安全和其它利益相關(guān)者，所有利益相關(guān)者均應(yīng)參與設(shè)計(jì)物聯(lián)網(wǎng)安全解決方案和協(xié)議。