經(jīng)常發(fā)生網(wǎng)絡(luò)攻擊案例，如2016年的Dyn拒絕服務(wù)攻擊和2014年的Jeep黑客入侵，表明了任何物聯(lián)網(wǎng)設(shè)備都需要一個(gè)強(qiáng)大的物聯(lián)網(wǎng)安全框架來避免安全問題。任何入侵物聯(lián)網(wǎng)網(wǎng)絡(luò)的行為都可能使企業(yè)陷入停滯狀態(tài)，這可能會(huì)導(dǎo)致品牌忠誠度下降、收入損失，以及更多取決于攻擊的性質(zhì)和嚴(yán)重性。實(shí)際上，2017年網(wǎng)絡(luò)攻擊使美國企業(yè)平均損失了130萬美元?？紤]到企業(yè)遭受網(wǎng)絡(luò)攻擊的平均成本從2016年的120萬美元增長到2017年的130萬美元，這是一個(gè)巨大數(shù)字，這也是中小企業(yè)違規(guī)成本11.7萬美元的10倍。

[[257018]]

物聯(lián)網(wǎng)安全合規(guī)審核清單應(yīng)該考慮的因素

一些企業(yè)傾向于將他們的物聯(lián)網(wǎng)安全合規(guī)外包給第三方機(jī)構(gòu)，以確保業(yè)內(nèi)最優(yōu)秀的人才能夠維護(hù)企業(yè)的物聯(lián)網(wǎng)安全和設(shè)備安全。然而，僅僅將您的安全合規(guī)框架委托給外部機(jī)構(gòu)并不能降低您遭受網(wǎng)絡(luò)攻擊和物聯(lián)網(wǎng)安全違規(guī)的風(fēng)險(xiǎn)。您需要確保合規(guī)框架的安全審核清單中考慮以下因素：

1. 產(chǎn)品/設(shè)備生命周期

從產(chǎn)品生命周期的初始階段就需要適當(dāng)考慮安全性，而且安全注意事項(xiàng)應(yīng)嵌入設(shè)計(jì)以及物聯(lián)網(wǎng)設(shè)備的功能中。還需要監(jiān)控組織中使用的設(shè)備的生命周期，例如，員工訪問當(dāng)前數(shù)據(jù)后，設(shè)備不能留在網(wǎng)絡(luò)上。健全的安全合規(guī)框架必須密切監(jiān)控誰可以訪問特定設(shè)備，以及允許設(shè)備執(zhí)行哪些操作。

2. 授權(quán)和認(rèn)證

這是每個(gè)安全評(píng)估清單中必須存在的兩個(gè)關(guān)鍵詞。授權(quán)意味著對物聯(lián)網(wǎng)產(chǎn)品的功能進(jìn)行基于角色的訪問控制，這不僅限制了多用戶產(chǎn)品中的訪問，而且還有助于在設(shè)備或產(chǎn)品的安全性受到損害時(shí)減輕影響。物聯(lián)網(wǎng)設(shè)備通過與其他物聯(lián)網(wǎng)設(shè)備和網(wǎng)絡(luò)相互通信，以發(fā)揮最大潛力，這就像一把雙刃劍，威脅有時(shí)會(huì)超過其中的好處。與不安全的設(shè)備或網(wǎng)絡(luò)通信會(huì)因惡意應(yīng)用程序而引發(fā)安全漏洞，因此，安全框架必須只允許經(jīng)過身份驗(yàn)證的設(shè)備相互連接。

3. 數(shù)據(jù)保護(hù)

所有物聯(lián)網(wǎng)產(chǎn)品必須限制其收集的數(shù)據(jù)，以降低數(shù)據(jù)泄露的可能性。存儲(chǔ)關(guān)于消費(fèi)者的不必要數(shù)據(jù)會(huì)導(dǎo)致數(shù)據(jù)暴露給未授權(quán)方的可能性增加。制造企業(yè)還需要提供關(guān)于他們收集的數(shù)據(jù)的可見性，以及為什么是至關(guān)重要的。此外，只要有可能，應(yīng)該有選擇退出的選項(xiàng)。

4. 測試

測試是確保安全框架有效的重要組成部分。測試必須包括物理測試、數(shù)字測試和第三方測試。對于安全的物聯(lián)網(wǎng)安全合規(guī)框架，必須進(jìn)行持續(xù)測試，然后進(jìn)行相關(guān)修改。

5. 靈活性

安全框架必須足夠靈活，以適應(yīng)行業(yè)中出現(xiàn)的新工具和指導(dǎo)方針。這樣做的一個(gè)基本方法是使軟件更新盡可能自動(dòng)化。允許這樣做意味著，當(dāng)發(fā)現(xiàn)新威脅時(shí)，可以在所有設(shè)備上更新處理漏洞的機(jī)制，而無需等待用戶驗(yàn)證。

6. 遠(yuǎn)程更新

您的所有物聯(lián)網(wǎng)產(chǎn)品都必須具有遠(yuǎn)程更新功能，這有助于節(jié)省數(shù)千美元用于產(chǎn)品召回或供應(yīng)商服務(wù)。使用此功能可以更輕松地進(jìn)行安全管理，而且還可以改善用戶體驗(yàn)。

7. 入侵監(jiān)測

除非物聯(lián)網(wǎng)合規(guī)性框架能夠監(jiān)測入侵并實(shí)時(shí)發(fā)送適當(dāng)警報(bào)，否則再多功能也是無用的。監(jiān)測入侵的主要挑戰(zhàn)是大多數(shù)平臺(tái)無法處理大量數(shù)據(jù)。由于需要從物聯(lián)網(wǎng)中分析的數(shù)據(jù)量非常龐大，因此用于處理此類數(shù)據(jù)的平臺(tái)必須兼容處理如此大量的數(shù)據(jù)。該平臺(tái)必須能夠提供洞察，例如流量模式中的異常、惡意行為，以提供行為分析。任何與正常行為的差異都可以觸發(fā)警報(bào)，從而提供所需行動(dòng)的適當(dāng)線索。

以上只是開發(fā)安全框架時(shí)必須考慮的主要因素，企業(yè)必須投資于詳細(xì)的物聯(lián)網(wǎng)安全合規(guī)框架，并采取足夠的安全措施，以確保物聯(lián)網(wǎng)安全。