如今，網(wǎng)絡攻擊者只需透過小型的物聯(lián)網(wǎng)設備，就能找到企業(yè)網(wǎng)絡的入口，以發(fā)起勒索軟件等攻擊。根據(jù)Palo Alto Networks對IT決策者進行的一項調(diào)研顯示，84%的中國大陸受訪者表示，過去一年連接到企業(yè)網(wǎng)絡上的非商業(yè)設備有所增加。在今年的研究中，智慧燈泡、心率監(jiān)測器、聯(lián)網(wǎng)運動裝置、咖啡機、游戲機，甚至是寵物喂食器等“奇怪”設備都出現(xiàn)在了網(wǎng)絡設備列表上。

[[440848]]

越來越多的設備聯(lián)網(wǎng)讓安全威脅頻出。今年3月，黑客入侵了一家位于硅谷的安全設備廠商，盜取了15萬個攝像頭拍攝的實時視頻。同樣是在年初，Palo Alto Networks對13.5萬個安全攝像頭進行了檢查，發(fā)現(xiàn)54%的攝像頭至少有1個安全漏洞，黑客利用這些漏洞可以完全控制、操控這些攝像頭，以此為跳板進入企業(yè)網(wǎng)絡發(fā)動攻擊。此外，大部分家庭使用的路由器也普遍存在安全漏洞，黑客很容易通過這些設備進入家庭網(wǎng)絡，利用薄弱的家庭和辦公設備發(fā)起勒索攻擊。

連續(xù)兩年的調(diào)查結(jié)果顯示，企業(yè)必須改善網(wǎng)絡安全措施，以保護企業(yè)網(wǎng)絡免受非商業(yè)物聯(lián)網(wǎng)設備帶來的風險。今年的研究中，100%的中國大陸受訪者都認為其組織的物聯(lián)網(wǎng)安全保護方法需要改進，27%的受訪者則表示需要徹底改革。其中，對風險評估(70%)、提供給安全團隊的物聯(lián)網(wǎng)設備上下文(64%)、裝備可見性和庫存(62%)以及政策執(zhí)行和零信任控制(62%)等方面需求最大。

隨著更多的員工以個人為單位使用智能音箱、穿戴設備、智能家居等產(chǎn)品，安全風險的入口也越來越多，而且像工業(yè)類企業(yè)用到的傳感器也越來越細分，包括具有WiFi功能的恒溫器控制的采暖通風和HVAC系統(tǒng)等等，這些傳感器在接入核心網(wǎng)的時候很可能沒有經(jīng)過IT運維團隊的授權(quán)。一項調(diào)查顯示，大多數(shù)企業(yè)并沒有覺察到物聯(lián)網(wǎng)或工業(yè)物聯(lián)網(wǎng)的無線網(wǎng)絡，與企業(yè)基礎(chǔ)設施是分離的。

當物聯(lián)網(wǎng)時代的傳感器變得無處不在，黑客利用IP攝像頭等端口尋找到的潛在目標類型五花八門，例如會盯上一些沒有密碼或弱密碼的網(wǎng)絡打印機。更可怕的是，這些威脅很難讓人感知到，這些攻擊的特點是規(guī)模小，可以逃過安全網(wǎng)絡的監(jiān)控，直接進入到系統(tǒng)后端，但不會在短期內(nèi)造成嚴重影響。不過一旦把時間線拉長，這些漏洞就會演變成為多維攻擊造成更嚴重的后果。

值得注意的是，在今年所有受訪的中國大陸IT決策者中，有35%表示其物聯(lián)網(wǎng)設備連接的網(wǎng)絡與所屬企業(yè)主要設備及業(yè)務應用(如人力資源系統(tǒng)、電郵服務器、財務系統(tǒng))的網(wǎng)絡各自獨立運作。44%受訪者遵循了最佳實踐——網(wǎng)絡微分段(Microsegmentation)，在網(wǎng)絡中創(chuàng)建的嚴格控制之安全區(qū)域，以隔離物聯(lián)網(wǎng)設備并將它們與IT設備分開，防止黑客在網(wǎng)絡上橫向移動進行攻擊。

在部署物聯(lián)網(wǎng)設施的過程中，企業(yè)通常無法控制這些智能連接設備所使用的軟硬件來源與品質(zhì)。存在于不同IT環(huán)境中的聯(lián)網(wǎng)設備，多數(shù)是由不同廠商“組裝”起來的，硬件、軟件、組件的提供方都不一樣。這種情況造成的困境之一是，有時候芯片升級了可對應的軟件升級并沒有趕上，而安全補丁更新的時候組件又不支持。這也就是為什么，有的物聯(lián)網(wǎng)安全廠商會在一開始就希望將安全解決方案整合到一個平臺中，而不是之后不斷的打補丁。

預測性防護，也是工業(yè)類客戶常用的一項措施。例如蒂森克虜伯用物聯(lián)網(wǎng)技術(shù)把全球近110萬部電梯的數(shù)據(jù)全部采集集中到云平臺上。比如這部電梯可以每天走了多少次、每次載重情況，每次行程過程中的各種部件參數(shù)，都可以實時采集，并用來進行機器學習。像Schindler也在與GE Predix平臺合作，對物聯(lián)網(wǎng)環(huán)境進行預知防護，但一個問題是，這些客戶逐漸發(fā)現(xiàn)這類投入導致ROI并不想理想，至少從時間上看是這樣。

理想狀況下，新加入的物聯(lián)網(wǎng)設備和工業(yè)設備應該通過專有的控制器來連接網(wǎng)絡，配置唯一對應的識別碼。對于那些不合法的設備，數(shù)據(jù)是不能傳輸給它們的。當然這里指的識別碼不是MAC或者OUI，這些在多類型設備部署在不同環(huán)境時并沒有專有性。

當然物聯(lián)網(wǎng)廠商也沒有放棄對安全性的嘗試，除了硬件加密，算法加密也是常被用到的安全手段。相信安全人員對于哈希函數(shù)并不陌生，其單向不可逆的特性使得對方難以從哈希值來推斷出原始密碼。當存有密碼信息的哈希值放進數(shù)據(jù)庫后，用戶在登錄系統(tǒng)時可以比對輸入值是否與庫中的哈希值相同。然而，難破解不等于無解，字典攻擊和暴力攻擊是常用于攻破哈希算法的手段，人們能做的只是降低系統(tǒng)被攻擊的頻率和效率。

根據(jù)Palo Alto Networks的觀察，工遠程辦公給企業(yè)帶來的安全挑戰(zhàn)可以總結(jié)為三個層面：

• 第一，沒有托管的安全服務的家庭網(wǎng)絡，本質(zhì)上是不安全的，沒有辦法通過企業(yè)標準的安全軟件和策略加以保護，這就導致很難對從家庭網(wǎng)絡入侵企業(yè)網(wǎng)絡的威脅加以防范;

• 第二，缺乏網(wǎng)絡分段。黑客很容易輕松的從家庭網(wǎng)絡橫向擴展到企業(yè)網(wǎng)絡，進而對企業(yè)內(nèi)部的機密信息和數(shù)據(jù)進行偷取;

• 第三，缺乏網(wǎng)絡的可視性，企業(yè)的安全團隊對家庭網(wǎng)絡上的設備一無所知，因此沒有辦法很快的對安全威脅進行快速反應和處理。

上述三個問題，讓企業(yè)的核心數(shù)據(jù)和應用都面臨著巨大的安全威脅和風險，企業(yè)迫切的需要創(chuàng)新的安全保護方式，來應對分布式辦公模式帶來的安全挑戰(zhàn)。安全保護必須從設備層面提升到整個網(wǎng)絡層面，來提升員工的效率和生產(chǎn)力，以確保安全為前提。