為了使物聯(lián)網(wǎng)(IoT)實(shí)施成功，網(wǎng)絡(luò)和安全人員需要創(chuàng)建包括三件事的物聯(lián)網(wǎng)安全路線圖。

對于許多IT項(xiàng)目而言，安全性通常是事后的想法，但這種方法會使組織的業(yè)務(wù)面臨重大風(fēng)險。物聯(lián)網(wǎng)的興起為網(wǎng)絡(luò)增加了指數(shù)級的設(shè)備，為網(wǎng)絡(luò)攻擊者創(chuàng)造了更多的入口點(diǎn)。更大的問題是，許多物聯(lián)網(wǎng)設(shè)備比傳統(tǒng)IT設(shè)備更容易入侵。

[[259107]]

物聯(lián)網(wǎng)廣泛應(yīng)用于一些行業(yè)，但它仍處于大多數(shù)企業(yè)的早期階段。對于剛剛起步的企業(yè)來說，IT和安全領(lǐng)導(dǎo)者現(xiàn)在應(yīng)該為他們的實(shí)現(xiàn)制定安全計劃。然而，安全的前景廣闊，但令人困惑，因此如何確保物聯(lián)網(wǎng)部署的安全可能并不明顯。以下是創(chuàng)建物聯(lián)網(wǎng)安全計劃時必須考慮的三件事。

物聯(lián)網(wǎng)安全計劃中包含的內(nèi)容如下：

1. 可見性是物聯(lián)網(wǎng)安全的基礎(chǔ)

人們無法保證不可見事物的安全，所以保護(hù)物聯(lián)網(wǎng)首先是知道連接的是什么設(shè)備，問題是大多數(shù)企業(yè)都沒有線索。有關(guān)機(jī)構(gòu)在今年早些時候進(jìn)行了一項(xiàng)調(diào)查，并詢問受訪者對于他們知道哪些設(shè)備連接到網(wǎng)絡(luò)的自信程度。高達(dá)61%的人表示信心不足或沒有信心。更糟糕的是，這個數(shù)字比三年前的51%大幅上升，表明網(wǎng)絡(luò)和團(tuán)隊在安全方面有些落后。

可見性是一個起點(diǎn)，但實(shí)現(xiàn)完全可見性有幾個步驟。這包括：

• 設(shè)備識別和發(fā)現(xiàn)。擁有一個能夠自動檢測、分析和分類網(wǎng)絡(luò)的內(nèi)容，并且開發(fā)完整設(shè)備清單的工具非常重要。一旦配置文件，安全業(yè)界人員可以回答關(guān)鍵問題，例如“設(shè)備采用什么操作系統(tǒng)?如何配置?它是可信任的還不可信任的?”重要的是，該工具持續(xù)監(jiān)控網(wǎng)絡(luò)，以便在設(shè)備連接后立即發(fā)現(xiàn)設(shè)備并對其進(jìn)行分析。
• 預(yù)測分析。在發(fā)現(xiàn)之后，應(yīng)該學(xué)習(xí)和基線化設(shè)備的行為，以便系統(tǒng)能夠在攻擊造成任何傷害之前對其作出反應(yīng)。一旦建立了規(guī)范，就可以對環(huán)境進(jìn)行異常監(jiān)測，然后采取行動。這對于高級持久性威脅(APT)特別有用，在那里它們保持休眠并映射環(huán)境。任何行為的改變，無論多么微小，都會觸發(fā)警報。

2. 網(wǎng)絡(luò)分段可提高安全敏捷性，阻止威脅的橫向移動

這是當(dāng)今較大的安全問題。Fortinet公司的John Maddison對于網(wǎng)絡(luò)分段如何為網(wǎng)絡(luò)增加靈活性和敏捷性，以及如何防止內(nèi)部威脅和惡意軟件溢出進(jìn)行了探討，這些惡意軟件已經(jīng)感染了網(wǎng)絡(luò)的其他部分。他是在SD-WAN的背景下討論這個問題，而這個將會被物聯(lián)網(wǎng)放大。

網(wǎng)絡(luò)分段的工作原理是分配策略、分離資產(chǎn)和管理風(fēng)險。當(dāng)物聯(lián)網(wǎng)設(shè)備被破壞時，網(wǎng)絡(luò)分段會阻止威脅橫向移動，因?yàn)橘Y產(chǎn)被分類并組合在一起。例如，可以在醫(yī)院中建立策略以將所有心臟泵置于安全區(qū)段中。如果違反了一項(xiàng)規(guī)定，則無法獲取醫(yī)療記錄。

在組合網(wǎng)絡(luò)分段平臺時，需要考慮三個關(guān)鍵事項(xiàng)。

• 風(fēng)險識別。先是根據(jù)企業(yè)認(rèn)為重要的標(biāo)準(zhǔn)對設(shè)備進(jìn)行分類。這可以是用戶、數(shù)據(jù)、設(shè)備、位置或幾乎任何其他內(nèi)容。然后應(yīng)將風(fēng)險分配給具有類似風(fēng)險特征的組。例如，在醫(yī)院中，所有與核磁共振成像(MRI)相關(guān)的端點(diǎn)都可以被分離到它們自己的區(qū)段中。如果違反了一項(xiàng)規(guī)定，則無法訪問醫(yī)療記錄或其他患者的信息。
• 策略管理。隨著環(huán)境的擴(kuò)展，需要發(fā)現(xiàn)新設(shè)備并應(yīng)用策略。如果設(shè)備移動，則策略需要隨之移動。將策略管理完全自動化非常重要，因?yàn)槿藗儫o法快速進(jìn)行更改以跟上動態(tài)組織的步伐。而策略是管理整個組織風(fēng)險的機(jī)制。
• 控制。一旦威脅參與者獲得訪問權(quán)，威脅者就可以在網(wǎng)絡(luò)上漫游數(shù)周，然后再采取行動。隔離物聯(lián)網(wǎng)端點(diǎn)以及與其通信的其他設(shè)備、服務(wù)器和端口，允許企業(yè)在風(fēng)險基礎(chǔ)上分離資源。從策略的角度選擇對與物聯(lián)網(wǎng)設(shè)備交互的部分網(wǎng)絡(luò)進(jìn)行不同的處理，使組織能夠控制風(fēng)險。

3. 設(shè)備保護(hù)在物聯(lián)網(wǎng)安全中位列首位

物聯(lián)網(wǎng)安全的首要任務(wù)是先保護(hù)設(shè)備，然后保護(hù)網(wǎng)絡(luò)。一旦一個物聯(lián)網(wǎng)設(shè)備被保護(hù)并加入網(wǎng)絡(luò)，它必須以與其他網(wǎng)絡(luò)元素協(xié)調(diào)的方式進(jìn)行保護(hù)。保護(hù)物聯(lián)網(wǎng)端點(diǎn)是正確執(zhí)行策略的問題。這是通過以下機(jī)制實(shí)現(xiàn)的：

• 政策靈活性和執(zhí)行力。解決方案需要更加靈活，能夠在設(shè)備和訪問級別定義和實(shí)施策略。為了滿足物聯(lián)網(wǎng)的需求，需要強(qiáng)制執(zhí)行控制設(shè)備行為、流量類型以及它在網(wǎng)絡(luò)上的位置的規(guī)則。物聯(lián)網(wǎng)端點(diǎn)、消費(fèi)設(shè)備和云計算應(yīng)用程序就是必須建立和實(shí)施不同策略的例子。
• 威脅情報。一旦建立了控制措施，就必須始終如一地執(zhí)行策略，并在整個網(wǎng)絡(luò)中轉(zhuǎn)換合規(guī)性要求。這就創(chuàng)建了一種智能的自我學(xué)習(xí)結(jié)構(gòu)，可以立即對威脅作出反應(yīng)。當(dāng)情報分布在整個網(wǎng)絡(luò)上時，可以在攻擊點(diǎn)采取行動，而不是等待威脅到達(dá)中心點(diǎn)。威脅情報應(yīng)該是本地信息和全球信息的結(jié)合，以在威脅發(fā)生之前識別它們。

不幸的是，對于網(wǎng)絡(luò)和安全從業(yè)人士來說，在保護(hù)物聯(lián)網(wǎng)設(shè)備方面并不簡單。但是，通過正確的規(guī)劃和準(zhǔn)備，即使是較大的物聯(lián)網(wǎng)環(huán)境也可以得到保護(hù)，因此企業(yè)可以繼續(xù)實(shí)施，而不會使其業(yè)務(wù)面臨風(fēng)險。