張如旭

5 IResearch的研究表明，有55%的IT專業(yè)人員將物聯(lián)網(wǎng)安全列為重中之重，而且這一數(shù)字可能還會增長。那么，如何做才能保護物聯(lián)網(wǎng)設備呢？

顯然，物聯(lián)網(wǎng)安全比以往任何時候都重要——但不幸的是，物聯(lián)網(wǎng)安全也比以往任何時候都更具挑戰(zhàn)性。

一些背景：2019新型冠狀病毒（COVID-19）疫情大流行和2020年的封鎖讓所有分析師的預測陷入混亂，但隨著經(jīng)濟開始走出危機，IT支出預計將再次恢復，其中包括物聯(lián)網(wǎng)的增長。

物聯(lián)網(wǎng)不是一個單一的類別，而是分為許多行業(yè)和用例。Forrester Research預測，2021年，物聯(lián)網(wǎng)市場的增長將由醫(yī)療保健、智能辦公室、位置服務、遠程資產(chǎn)監(jiān)控和新的網(wǎng)絡技術驅動。

這在很大程度上是由COVID-19的余波所推動。遠程工作的爆炸式增長以及遠程醫(yī)療，在一定程度上推動了這一趨勢。新的設備正在問世，為那些不能或不愿去看醫(yī)生的病人做診斷。

與物聯(lián)網(wǎng)相關的關鍵問題之一是具備足夠的安全機制。這對物聯(lián)網(wǎng)醫(yī)療設備尤其重要，因為出于隱私原因，醫(yī)療保健受到了嚴格的監(jiān)管。

不僅是保護特定的物聯(lián)網(wǎng)設備，而是保護所有設備。如果被黑客入侵，你連接的冰箱可能不會對你的家庭安全造成太大威脅，但它可以作為一個網(wǎng)關，進入你家庭網(wǎng)絡中更重要的設備。然后它就變得和心臟監(jiān)測器一樣重要了。

工業(yè)物聯(lián)網(wǎng)也是如此。2020年夏天，有消息稱俄羅斯黑客侵入了美國核電站的控制系統(tǒng)，這種威脅對全球制造業(yè)務的影響相當大。因此，一段時間以來，物聯(lián)網(wǎng)安全一直是IT經(jīng)理的頭等大事也就不足為奇了。

了解物聯(lián)網(wǎng)及其復雜性

物聯(lián)網(wǎng)是連接到互聯(lián)網(wǎng)的設備集合。這些物聯(lián)網(wǎng)設備不是傳統(tǒng)的計算設備，想想那些還沒有聯(lián)網(wǎng)的電子設備，比如復印機、冰箱、心臟起搏器和血糖儀，甚至咖啡壺。物聯(lián)網(wǎng)是一個熱門話題，因為它可以連接以前未連接的設備，并將連接帶到通常孤立的地方和事物。

研究表明，采用物聯(lián)網(wǎng)公司最大的好處是提高了員工生產(chǎn)力、有更好的遠程監(jiān)控能力和具備簡化的流程。

那么，關于物聯(lián)網(wǎng)安全，你應該知道些什么？

多年來，技術領域出現(xiàn)了一種不幸的模式——急于擁抱新事物，并在稍后確保它的安全。物聯(lián)網(wǎng)設備就是這樣，他們經(jīng)常因為黑客攻擊而登上新聞，威脅程度從輕微到嚴重不等。

物聯(lián)網(wǎng)安全是美國國土安全部最關心的問題，該部撰寫了一篇關于物聯(lián)網(wǎng)設備安全的長篇論文。雖然該文檔已經(jīng)存在5年了，而且物聯(lián)網(wǎng)世界已經(jīng)發(fā)生了很多變化，但其中列出的許多原則和最佳實踐仍然有效，值得考慮。

假設每個物聯(lián)網(wǎng)設備都需要配置

當市場看到智能貓砂盒和智能鹽瓶出現(xiàn)時，就證明我們正處于或接近物聯(lián)網(wǎng)設備的采用高峰。但是，不要忽略這些特性，也不要認為它們是開箱即用的安全配置。讓它們未配置或未鎖定，對黑客來說是一個突破口，不管是什么設備。

了解設備

必須知道哪些類型的設備連接到了你的網(wǎng)絡，并對所有連接的物聯(lián)網(wǎng)資產(chǎn)有詳細的、最新的資料。

應該了解您的資產(chǎn)地圖與每一個連接到網(wǎng)絡的新設備情況，需要了解的事實包括制造商和型號ID、序列號、軟件和固件版本等。

需要強大的登錄憑證

人們傾向于在所有設備上使用相同的登錄名和密碼，而且通常密碼都很簡單。

應確保每個員工的每次登錄都是唯一的，并要求設置強密碼。如果可用，請使用雙因素授權，并始終在新設備上更改默認密碼。為了確?？尚诺倪B接，使用公鑰基礎設施（PKI）和數(shù)字證書為設備身份和信任提供安全的基礎。

使用端到端加密

連接的設備相互通信，當它們這樣做時，數(shù)據(jù)就從一個點傳輸?shù)搅硪粋€點，而且往往是在沒有加密的情況下。您需要在每次傳輸時加密數(shù)據(jù)，以防止包嗅探（一種常見的攻擊形式）。設備應該有加密數(shù)據(jù)傳輸選項，如果沒有，就要考慮其他選擇。

確保更新設備

確保在第一次使用時更新設備，因為固件和軟件可能在設備生產(chǎn)和購買之間更新過，如果設備有自動更新功能，啟用它，這樣就不必手動更新了。另外還需要定期檢查設備，看看是否需要更新。

在服務器端，修改路由器的名稱和密碼。默認情況下，路由器通常以制造商命名，建議避免在網(wǎng)絡中使用公司名稱。

禁用不需要的功能

保護設備的一個很好步驟是禁用任何不需要的特性或功能。這包括開放的TCP/UDP端口、開放的串行端口、開放的密碼提示、未加密的通信、不安全的無線連接或任何可以進行代碼注入的地方，如Web服務器或數(shù)據(jù)庫。

避免使用公共WiFi

在星巴克使用WiFi并不是什么好主意，尤其是當你連接到自己的網(wǎng)絡時。

公共WiFi接入點經(jīng)常是舊的、過時的且沒有升級的，而且很容易破壞安全。如果必須使用公共WiFi，請使用VPN。

建立客戶網(wǎng)絡

訪客網(wǎng)絡是一個很好的安全解決方案，對于那些想在家里或辦公室使用你WiFi的訪客?？梢詾樗麄兲峁┚W(wǎng)絡訪問，但將他們與主網(wǎng)絡隔離。

也可以為物聯(lián)網(wǎng)設備建立客用網(wǎng)絡，這樣如果設備被入侵，黑客就會被困在客用網(wǎng)絡中。

使用網(wǎng)絡分段

網(wǎng)絡分段是指將網(wǎng)絡劃分為2個或多個子部分，以實現(xiàn)對設備和工作負載之間流量橫向移動的精細控制。在不分段的網(wǎng)絡中，沒有任何東西是隔開的。每個端點都可以與另一個端點通信，因此一旦黑客突破防火墻，他們就擁有完全的訪問權限。在一個分段的網(wǎng)絡中，黑客移動變得更加困難。

企業(yè)應使用虛擬局域網(wǎng)（VLAN）配置和下一代防火墻策略來實施將物聯(lián)網(wǎng)設備與IT資產(chǎn)分開的網(wǎng)段。這樣，2個組都可以受到保護，不會受到橫向攻擊的可能性。

還可以考慮部署零信任網(wǎng)絡體系結構。零信任基本上保護了每一個數(shù)字資產(chǎn)，并且不假定來自另一個數(shù)字資產(chǎn)的信任，從而限制了未經(jīng)授權的訪問。

主動監(jiān)控物聯(lián)網(wǎng)設備

實時監(jiān)控、報告和警報對于組織管理物聯(lián)網(wǎng)風險是必不可少的。

傳統(tǒng)的端點安全解決方案通常不能與物聯(lián)網(wǎng)設備一起工作，因此需要一種新的方法。這意味著需要對異常行為進行實時監(jiān)控，就像零信任網(wǎng)絡一樣，不要讓物聯(lián)網(wǎng)設備在沒有持續(xù)關注的情況下訪問你的網(wǎng)絡。