至今，仍有人認為物聯網是將來的事情。實際上，物聯網設備已經在保健、政府、制造、金融和其它行業(yè)嶄露頭角。據權威機構IDC預計，在未來的五年內物聯網在未來的五年內必將進入所有行業(yè)，并且在未來的兩年內大多數IT網絡將遭到與物聯網有關的攻擊。

[[145966]]

還有研究表明，與物聯網有關的風險和漏洞正在企業(yè)中出現，這是因為企業(yè)缺乏物聯網的設備管理，例如缺少監(jiān)視和打補丁的機制。而且，大量的企業(yè)還沒有實施任何控制，無法防止未獲得授權的設備連接到公司網絡。

物聯網漏洞現在已經存在，而且連接到公司網絡和訪問公司數據的新設備可謂日益劇增。

本文將探討與物聯網有關的安全問題，并提供相關策略和建議，探究如何做好準備應對這些威脅。

物聯網風險

當今企業(yè)的網絡連接幾乎包括從雇員設備到空調、照明系統等一切對象。設備類型千差萬別。例如，醫(yī)院內部那些不可管理的或未被管理的連網設備與煉油廠、污水處理廠、生產車間的連網設備就有很大不同。一般說來，設備屬于IT基礎架構的范疇，因為IT部門擁有、管理、控制著IP地址、以太網、無線連接設備，以及運營的基礎設施(如傳感器和連接器等)。從安全的意義上說，物聯網并不是只有一種問題，而是成千上萬，而且每種新增加的設備類型都代表著黑客可以攻擊的一個具體機會。

與物聯網有關的安全風險包括基于Web的惡意軟件、ICS固件、經由受攻擊的網絡而實施的OT攻擊、魚叉式網絡釣魚、內部人員威脅、錯誤的軟件補丁，還有通過無線系統對設備實施的攻擊。從黑客的觀點看，他可以訪問包括從視頻攝像機、生產機器、位置傳感器、連網的空調系統、控制系統，或是與網絡相聯的傳輸組件，等等。

可能產生的影響

在將物聯網設備添加到基礎架構中時，企業(yè)應當從一開始就考慮安全性。例如，企業(yè)要判定設備中是否整合了安全性，并考慮此設備如何適應企業(yè)的安全環(huán)境。此外，還要知道如今的安全問題已經不僅僅是網絡管理員的問題了，而是要涉及到設備的制造者，而且每個物聯網設備的制造商都應當解決安全問題。此外，分層安全(從設備到操作系統，從應用程序到網絡的基礎架構)也很重要。對于操作系統，企業(yè)最好通過沙箱技術來隔離應用程序。同時，企業(yè)還要對通信的基礎架構進行加密和保障安全性。

同樣，物聯網也迫使規(guī)劃人員對于未知的和未加管理的設備制定策略，在有些情況下，需要加密網絡。還有，IT可能需要對減輕威脅的邊緣(防火墻、入侵防御系統等)進行擴展，使其可以覆蓋物聯網設備。

從行業(yè)的觀點看，物聯網的基礎部分包括設備、傳感器、系統、場系統，或是由網絡和通信所連接的其它設備，以及由SCADA(數據采集與監(jiān)視控制系統)網絡控制的其它系統。“傳感器到企業(yè)”的連接方式打開了企業(yè)這座寶藏。為保障寶藏的安全性，應確保嚴格的安全策略、培訓要求、基于角色的控制面板、持續(xù)的威脅檢測和管理，等等。雖然網絡安全意識在一些領域已經很強了，但并非每一個行業(yè)都如此。筆者建議重新評估和設計傳統的策略，防止未來發(fā)生不可挽回的破壞。

企業(yè)現在就應當開始為與物聯網有關的安全問題做好準備，因為攻擊者知道這些設備可以連接到其它的系統和機器，并開始將其作為攻擊目標。安全管理員可能還未認識到此問題，但有的管理員已經開始考慮與物聯網有關的威脅，因為企業(yè)中已經安裝了物聯網設備，例如，移動雇員可以輕松地訪問連網的打印機。最大問題在于幾乎每時每刻都有新的物聯網設備，這些設備就成為了新的攻擊點或入口。

與此類似的是，制造業(yè)歷年來都在使用機器、設備、傳感器、系統等，但直到近來才使設備的連接和協作成為可能?；ヂ摼W連接打開了制造商的后門和前門的一些漏洞。很明顯，黑客占有優(yōu)勢，因為工業(yè)易遭受攻擊。因而，為實現及時響應和防御威脅，企業(yè)需要實時且不斷地監(jiān)視這些連網的系統，并能夠在發(fā)現威脅時及時發(fā)出警告。

心動不如行動

安全廠商和供應商在與物聯網有關的不同領域發(fā)展，例如，在硬件和軟件方面實現嵌入式安全(認證、訪問控制、加密)。有些設備制造商正在將安全性作為設備的一個設計標準，而且現有的安全廠商正在構建在物聯網環(huán)境下的網絡解決方案，而新廠商應當為物聯網環(huán)境開發(fā)新方案。

總體說來，從企業(yè)方面看，強健的物聯網安全需要從以下三方面入手。

首先是調查。企業(yè)IT首先要現場調查，要理解當前有哪些網絡連接，如何連接，為什么連接，等等。

其次是評估。IT要判定這些設備會帶來哪些威脅，如果這些設備遭受攻擊，在遭到破壞時，會發(fā)生什么，有哪些損失。

最后是增加網絡安全。企業(yè)要依靠能夠理解物聯網的設備、協議、環(huán)境的工具，這些工具最好還要能夠確認和阻止攻擊，并且能夠幫助企業(yè)選擇加密和訪問控制(能夠對攻擊者隱藏設備和通信)的解決方案。