物聯網(IoT)設備的快速部署態(tài)勢正對當今不斷發(fā)展的網絡安全性產生重大而深遠的影響。

自帶設備(BYOD)是最近十余年來首輪最重要的物聯網設備引入，且主要集中在移動手機與筆記本電腦等用戶自有設備身上。

在此期間，系統(tǒng)管理員亦在努力將不安全及未受保護的設備引入主干封閉網絡當中，而網絡犯罪分子則很快利用這種新的攻擊載體。

[[245614]]

一、人均聯網設備數量即將多達7臺

快速推進到今天，這個問題已經變得更為復雜。用戶已經開始用智能手機取代功能機，其上能夠運行的應用程序已經遠遠超過任何人的想象。與此同時，其它智能設備(包括可穿戴設備與平板電腦)仍在持續(xù)增長，部分專家估計到2020年人均聯網設備數量將多達7臺。

然而，最終用戶設備僅僅只是系統(tǒng)管理員需要關注的冰山一角。其它物聯網(IoT)設備也在以前所未有的速度立足網絡內部激增——從智能家電與庫存追蹤器，再到聯網醫(yī)療與 OT 設備皆在其中。這種擴展已經成為大數據增長背后的關鍵性驅動因素，且貢獻著可觀的網絡流量比例。

專家們認為，到2023年將有近320億臺物聯網設備存在，并以43%的復合年增長率支持全球移動數據流量。

二、大多數IT安全架構尚未做好準備

由于大多數此類數據以需要在不同網絡(包括多云環(huán)境)內的各類應用程序與事務之間往來移動的形式存在，因此我們需要對大部分數據進行加密。

除了數據量本身快速超越安全設備的消化能力之外，加密機制的介入也將帶來新的復雜層。在檢查 SSL 流量方面，全球范圍內幾乎所有已經部署的安全解決方案都很難應對由此帶來的巨大壓力。而且可以肯定的是，未來大多數邊緣與內部安全設備都需要將此作為自身的主要功能。

對于在新興數字市場中競爭的組織而言，安全事故無疑是不可接受的。更糟糕的是，用戶總能找到繞過安全機制的方法并給網絡體系帶來致命軟肋。

對于安全團隊而言，放慢速度以充分應用安全檢查與協議機制是一種不可接受的處理思路。考慮緊張的安全預算，幾乎不可能將安全設備升級至足以承載如此嚴苛的性能要求。

除了上述因素之外，組織還需要確保在不同網絡域之間傳輸數據時，實施統(tǒng)一的安全策略——這無疑進一步增加了安全問題的復雜性，組織需要在各種網絡生態(tài)系統(tǒng)中部署具備相同功能與特性的工具。

[[245615]]

三、如何利用分段機制保護物聯網?

實現這一目標的關鍵策略，在于實施全面的分段策略。對于這樣一套行之有效的物聯網(IoT)安全策略，需要執(zhí)行以下三個基本步驟：

1. 建立廣泛的可見性：

大多數組織面臨的最大挑戰(zhàn)，在于識別并追蹤接入網絡的所有物聯網設備。網絡訪問控制允許組織以安全的方式對物聯網設備進行身份驗證與分類。立足訪問點對設備進行實時發(fā)現與分類，IT團隊將能夠構建起風險概況，并可自動將物聯網設備分配予適當的設備組與相關策略。

2. 立足生產網絡進行物聯網分段：

一旦網絡確定了物聯網設備，IT 團隊接下來需要建立物聯網攻擊面控制機制。將物聯網設備與相關通信分段為基于策略的組與安全網絡區(qū)域提供可由網絡自動授予及執(zhí)行的基準物聯網設備配置權限。

庫存管理工具能夠追蹤這些設備，行為分析工具可以監(jiān)控其行為，而應用內分段防火墻(ISFW)則使得組織不僅能夠快速、動態(tài)地監(jiān)控其行為，還能夠檢查跨越分段邊界的應用程序及其它流量。

3. 保護網絡：

建立策略驅動型物聯網組，而后將其與內部網絡分段相結合，從而根據行為對設備策略進行多層監(jiān)控、檢查與實施——而無需考慮分布式企業(yè)級基礎設施的具體部署位置。在此之后，集成的自動化安全框架使得在傳統(tǒng)上相互隔離的安全設備能夠在物聯網流量經由網絡時將各類威脅情報關聯起來——甚至能夠在跨越不同網絡生態(tài)系統(tǒng)部署的設備之間進行關聯。在此之后，這些集成工具能夠自動將高級安全功能應用于一切物聯網設備或者網絡中任何位置的異常流量，包括接入點、跨網段流量以及跨多云部署環(huán)境。

組織不應再將物聯網設備視為業(yè)務體系中的孤立或者獨立組成部分。物聯網(IoT)設備及其相關數據能夠與您的擴展網絡中的其它設備與資源進行交互，包括各類端點設備、多云環(huán)境以及互聯程度日益增長的 IT 與 OT 網絡。

傳統(tǒng)上的隔離型物聯網安全解決方案不僅會增加開銷并降低可見性，而且完全無法配合如今物聯網設備所產生的大規(guī)模流量。為了充分對網絡及物聯網加以保護，組織需要跨越網絡環(huán)境部署廣泛的安全架構、強大的安全工具，以動態(tài)方式對物聯網設備進行分段，同時以符合網絡速度的水平檢查加密流量。除此之外，組織還應實現不同安全解決方案之間的深度集成，從而關聯威脅情報并自動立足分布式物聯網網絡中的任何位置對檢測到的威脅加以響應。