至今，仍有人認(rèn)為物聯(lián)網(wǎng)是將來的事情。實(shí)際上，物聯(lián)網(wǎng)設(shè)備已經(jīng)在保健、政府、制造、金融和其它行業(yè)嶄露頭角。據(jù)權(quán)威機(jī)構(gòu)IDC預(yù)計(jì)，在未來的五年內(nèi)物聯(lián)網(wǎng)在未來的五年內(nèi)必將進(jìn)入所有行業(yè)，并且在未來的兩年內(nèi)大多數(shù)IT網(wǎng)絡(luò)將遭到與物聯(lián)網(wǎng)有關(guān)的攻擊。

還有研究表明，與物聯(lián)網(wǎng)有關(guān)的風(fēng)險(xiǎn)和漏洞正在企業(yè)中出現(xiàn)，這是因?yàn)槠髽I(yè)缺乏物聯(lián)網(wǎng)的設(shè)備管理，例如缺少監(jiān)視和打補(bǔ)丁的機(jī)制。而且，大量的企業(yè)還沒有實(shí)施任何控制，無法防止未獲得授權(quán)的設(shè)備連接到公司網(wǎng)絡(luò)。

物聯(lián)網(wǎng)漏洞現(xiàn)在已經(jīng)存在，而且連接到公司網(wǎng)絡(luò)和訪問公司數(shù)據(jù)的新設(shè)備可謂日益劇增。

本文將探討與物聯(lián)網(wǎng)有關(guān)的安全問題，并提供相關(guān)策略和建議，探究如何做好準(zhǔn)備應(yīng)對(duì)這些威脅。

物聯(lián)網(wǎng)風(fēng)險(xiǎn)

當(dāng)今企業(yè)的網(wǎng)絡(luò)連接幾乎包括從雇員設(shè)備到空調(diào)、照明系統(tǒng)等一切對(duì)象。設(shè)備類型千差萬別。例如，醫(yī)院內(nèi)部那些不可管理的或未被管理的連網(wǎng)設(shè)備與煉油廠、污水處理廠、生產(chǎn)車間的連網(wǎng)設(shè)備就有很大不同。一般說來，設(shè)備屬于IT基礎(chǔ)架構(gòu)的范疇，因?yàn)镮T部門擁有、管理、控制著IP地址、以太網(wǎng)、無線連接設(shè)備，以及運(yùn)營的基礎(chǔ)設(shè)施(如傳感器和連接器等)。從安全的意義上說，物聯(lián)網(wǎng)并不是只有一種問題，而是成千上萬，而且每種新增加的設(shè)備類型都代表著黑客可以攻擊的一個(gè)具體機(jī)會(huì)。

與物聯(lián)網(wǎng)有關(guān)的安全風(fēng)險(xiǎn)包括基于Web的惡意軟件、ICS固件、經(jīng)由受攻擊的網(wǎng)絡(luò)而實(shí)施的OT攻擊、魚叉式網(wǎng)絡(luò)釣魚、內(nèi)部人員威脅、錯(cuò)誤的軟件補(bǔ)丁，還有通過無線系統(tǒng)對(duì)設(shè)備實(shí)施的攻擊。從黑客的觀點(diǎn)看，他可以訪問包括從視頻攝像機(jī)、生產(chǎn)機(jī)器、位置傳感器、連網(wǎng)的空調(diào)系統(tǒng)、控制系統(tǒng)，或是與網(wǎng)絡(luò)相聯(lián)的傳輸組件，等等。

可能產(chǎn)生的影響

在將物聯(lián)網(wǎng)設(shè)備添加到基礎(chǔ)架構(gòu)中時(shí)，企業(yè)應(yīng)當(dāng)從一開始就考慮安全性。例如，企業(yè)要判定設(shè)備中是否整合了安全性，并考慮此設(shè)備如何適應(yīng)企業(yè)的安全環(huán)境。此外，還要知道如今的安全問題已經(jīng)不僅僅是網(wǎng)絡(luò)管理員的問題了，而是要涉及到設(shè)備的制造者，而且每個(gè)物聯(lián)網(wǎng)設(shè)備的制造商都應(yīng)當(dāng)解決安全問題。此外，分層安全(從設(shè)備到操作系統(tǒng)，從應(yīng)用程序到網(wǎng)絡(luò)的基礎(chǔ)架構(gòu))也很重要。對(duì)于操作系統(tǒng)，企業(yè)最好通過沙箱技術(shù)來隔離應(yīng)用程序。同時(shí)，企業(yè)還要對(duì)通信的基礎(chǔ)架構(gòu)進(jìn)行加密和保障安全性。

同樣，物聯(lián)網(wǎng)也迫使規(guī)劃人員對(duì)于未知的和未加管理的設(shè)備制定策略，在有些情況下，需要加密網(wǎng)絡(luò)。還有，IT可能需要對(duì)減輕威脅的邊緣(防火墻、入侵防御系統(tǒng)等)進(jìn)行擴(kuò)展，使其可以覆蓋物聯(lián)網(wǎng)設(shè)備。

從行業(yè)的觀點(diǎn)看，物聯(lián)網(wǎng)的基礎(chǔ)部分包括設(shè)備、傳感器、系統(tǒng)、場(chǎng)系統(tǒng)，或是由網(wǎng)絡(luò)和通信所連接的其它設(shè)備，以及由SCADA(數(shù)據(jù)采集與監(jiān)視控制系統(tǒng))網(wǎng)絡(luò)控制的其它系統(tǒng)。“傳感器到企業(yè)”的連接方式打開了企業(yè)這座寶藏。為保障寶藏的安全性，應(yīng)確保嚴(yán)格的安全策略、培訓(xùn)要求、基于角色的控制面板、持續(xù)的威脅檢測(cè)和管理，等等。雖然網(wǎng)絡(luò)安全意識(shí)在一些領(lǐng)域已經(jīng)很強(qiáng)了，但并非每一個(gè)行業(yè)都如此。筆者建議重新評(píng)估和設(shè)計(jì)傳統(tǒng)的策略，防止未來發(fā)生不可挽回的破壞。

企業(yè)現(xiàn)在就應(yīng)當(dāng)開始為與物聯(lián)網(wǎng)有關(guān)的安全問題做好準(zhǔn)備，因?yàn)楣粽咧肋@些設(shè)備可以連接到其它的系統(tǒng)和機(jī)器，并開始將其作為攻擊目標(biāo)。安全管理員可能還未認(rèn)識(shí)到此問題，但有的管理員已經(jīng)開始考慮與物聯(lián)網(wǎng)有關(guān)的威脅，因?yàn)槠髽I(yè)中已經(jīng)安裝了物聯(lián)網(wǎng)設(shè)備，例如，移動(dòng)雇員可以輕松地訪問連網(wǎng)的打印機(jī)。最大問題在于幾乎每時(shí)每刻都有新的物聯(lián)網(wǎng)設(shè)備，這些設(shè)備就成為了新的攻擊點(diǎn)或入口。

與此類似的是，制造業(yè)歷年來都在使用機(jī)器、設(shè)備、傳感器、系統(tǒng)等，但直到近來才使設(shè)備的連接和協(xié)作成為可能。互聯(lián)網(wǎng)連接打開了制造商的后門和前門的一些漏洞。很明顯，黑客占有優(yōu)勢(shì)，因?yàn)楣I(yè)易遭受攻擊。因而，為實(shí)現(xiàn)及時(shí)響應(yīng)和防御威脅，企業(yè)需要實(shí)時(shí)且不斷地監(jiān)視這些連網(wǎng)的系統(tǒng)，并能夠在發(fā)現(xiàn)威脅時(shí)及時(shí)發(fā)出警告。

心動(dòng)不如行動(dòng)

安全廠商和供應(yīng)商在與物聯(lián)網(wǎng)有關(guān)的不同領(lǐng)域發(fā)展，例如，在硬件和軟件方面實(shí)現(xiàn)嵌入式安全(認(rèn)證、訪問控制、加密)。有些設(shè)備制造商正在將安全性作為設(shè)備的一個(gè)設(shè)計(jì)標(biāo)準(zhǔn)，而且現(xiàn)有的安全廠商正在構(gòu)建在物聯(lián)網(wǎng)環(huán)境下的網(wǎng)絡(luò)解決方案，而新廠商應(yīng)當(dāng)為物聯(lián)網(wǎng)環(huán)境開發(fā)新方案。

總體說來，從企業(yè)方面看，強(qiáng)健的物聯(lián)網(wǎng)安全需要從以下三方面入手。

首先是調(diào)查。企業(yè)IT首先要現(xiàn)場(chǎng)調(diào)查，要理解當(dāng)前有哪些網(wǎng)絡(luò)連接，如何連接，為什么連接，等等。

其次是評(píng)估。IT要判定這些設(shè)備會(huì)帶來哪些威脅，如果這些設(shè)備遭受攻擊，在遭到破壞時(shí)，會(huì)發(fā)生什么，有哪些損失。

最后是增加網(wǎng)絡(luò)安全。企業(yè)要依靠能夠理解物聯(lián)網(wǎng)的設(shè)備、協(xié)議、環(huán)境的工具，這些工具最好還要能夠確認(rèn)和阻止攻擊，并且能夠幫助企業(yè)選擇加密和訪問控制(能夠?qū)粽唠[藏設(shè)備和通信)的解決方案。