根據(jù)微軟2021年物聯(lián)網(wǎng)信號報告顯示，90% 的采用者表示物聯(lián)網(wǎng)對他們的成功至關重要，44%的企業(yè)預計會增加對它的投資。該報告強調(diào)了企業(yè)希望獲得的廣泛好處，包括質(zhì)量保證、云操作、設備和資產(chǎn)的安全性、提高運營效率和員工的生產(chǎn)力、提高工作場所的安全性以及管理供應鏈等。

物聯(lián)網(wǎng)的關鍵安全問題

盡管這項技術如今無處不在，但在微軟報告中接受調(diào)查的企業(yè)中，近三分之一的企業(yè)不想擴大物聯(lián)網(wǎng)解決方案的使用范圍，因為他們認為存在安全風險。像Mirai和Gafgyt這樣的代碼庫仍然是針對該系統(tǒng)攻擊的活躍部分，受感染的設備被用來竊取信息和執(zhí)行分布式拒絕服務(DDoS)攻擊。此外，受感染的設備可作為攻擊者進入內(nèi)部網(wǎng)絡的入口點或跳板，也可以用于構建挖掘加密貨幣的僵尸網(wǎng)絡。

強大物聯(lián)網(wǎng)安全的基本要素

為了獲得足夠的安全性，請牢記物聯(lián)網(wǎng)安全的這些基本原則。

(1) 設備清單

您無法保護您不知道的東西。通過跟蹤在網(wǎng)絡中添加設備的日志記錄和定期的網(wǎng)絡掃描來保持最新的設備清單，可以幫助您了解環(huán)境中有哪些設備。了解目前的情況將有助于您計劃更新和配置更改，并確保您考慮到保護資產(chǎn)所需的一切。

(2) 賬戶安全

物聯(lián)網(wǎng)設備連接到網(wǎng)絡，因此需要具有一定級別的安全密碼。然而，許多企業(yè)用戶仍然沒有更改設備上的默認密碼，導致留下了“admin”或“123456”等弱密碼。僵尸網(wǎng)絡和攻擊者可以使用這些弱密碼在設備系統(tǒng)中獲得立足點。相反，應設置強大的新密碼或密鑰，并使其受到與其他網(wǎng)絡設備相同的安全標準和憑據(jù)保護。

(3) 設備配置

物聯(lián)網(wǎng)設備上的新特性和管理功能可以使任務比以往任何時候都更容易。然而，攻擊者也在利用這一優(yōu)勢，將其作為危害敏感數(shù)據(jù)的關鍵入口或跳板。為了最大限度地減少攻擊成功的可能性，您需要了解網(wǎng)絡上每臺設備上的可用功能，應用經(jīng)過測試和強化的配置，并準備好測試和部署新配置(如果發(fā)現(xiàn)當前配置存在問題)。

(4) 網(wǎng)絡分段

在設計物聯(lián)網(wǎng)設備及其網(wǎng)絡時，請考慮每臺設備可以訪問的數(shù)據(jù)的重要性。提出問題，包括它需要哪些數(shù)據(jù)、它對正常運行時間或安全性的影響有多大，以及如果該設備遭到破壞會對企業(yè)構成什么風險。將設備管理與正常數(shù)據(jù)操作分開可以防止最敏感的功能成為網(wǎng)絡用戶的目標。然后，與傳統(tǒng)的網(wǎng)絡基礎設施一樣，根據(jù)業(yè)務風險對設備所在的網(wǎng)絡進行分段保護。

(5) 打補丁

為物聯(lián)網(wǎng)設備打補丁可能很復雜，原因有很多——設備數(shù)量、應用補丁的設計難度，以及特定設備(包括醫(yī)療或工業(yè)機器)持續(xù)正常運行的需要。設備清單有助于解決此問題。在您的清單中，您應該記錄如何為每臺設備打補丁、監(jiān)測補丁版本以及安排補丁窗口，就像您對其他網(wǎng)絡設備所做的那樣。如果無法修補設備，請在網(wǎng)絡上將其與敏感數(shù)據(jù)分開。

(6) 網(wǎng)絡流量監(jiān)控

除了配置和應用安全控制之外，了解設備在網(wǎng)絡上的行為也至關重要。這需要監(jiān)控網(wǎng)絡流量。從添加設備時開始觀察流量，有助于您為預期的流量繪制基線，確定提高效率的方法，識別表明存在危害的異常流量，并采取措施，例如修補或停用受感染的設備。

(7) 數(shù)據(jù)加密

根據(jù)2020年Palo Alto Networks Unit 42關于企業(yè)和醫(yī)療保健中物聯(lián)網(wǎng)使用情況的報告，所有設備流量中有98%是未加密的。一些設備不加密數(shù)據(jù)，而另一些設備則避開已知的加密標準，轉(zhuǎn)而采用較少測試的“輕量級”加密技術。隨著設備能夠訪問更敏感的信息，請確保憑據(jù)和其他敏感數(shù)據(jù)在傳輸和存放過程中得到充分加密。這涉及評估現(xiàn)有設備、新設備，其中包括它們使用強加密技術加密數(shù)據(jù)的能力。

(8) 物理安全

即使采取了加密、正確配置和網(wǎng)絡分段等預防措施，物理安全也很重要。如果攻擊者可以接觸物聯(lián)網(wǎng)設備，那么他們可能會篡改設備、重置設備或訪問與其連接的數(shù)據(jù)?？紤]鎖定可以訪問敏感信息的設備，并選擇具有強防篡改保護的設備。

(9) 滲透測試

與傳統(tǒng)的 IT 基礎設施一樣，除非您對其進行測試，否則您無法知道安全控制是否按預期工作。與具有設備經(jīng)驗的滲透測試人員合作，可以像攻擊者一樣查看安全態(tài)勢，從而幫助您改善安全狀況。滲透測試將幫助您確定物聯(lián)網(wǎng)安全性不足的地方，以及您應該采取哪些措施來防止軟件漏洞、配置缺陷、加密問題和易受攻擊的通信協(xié)議之間的攻擊。

總結

物聯(lián)網(wǎng)可以提高企業(yè)效率，但像其他軟件或基礎設施一樣，它也會引發(fā)安全問題?，F(xiàn)在是學習安全基礎，并確保物聯(lián)網(wǎng)基礎設施不會使您的企業(yè)面臨不必要風險的時候了。隨著您的業(yè)務不斷發(fā)展，將這些要素納入安全計劃可以幫助您滿懷信心地實現(xiàn)現(xiàn)代化。