顯然，物聯(lián)網(wǎng)安全比以往任何時(shí)候都重要——但不幸的是，物聯(lián)網(wǎng)安全也比以往任何時(shí)候都更具挑戰(zhàn)性。

　　一些背景：2019冠狀病毒病(COVID-19)大流行和2020年的封鎖讓所有分析師的預(yù)測(cè)陷入混亂，但隨著經(jīng)濟(jì)開始走出危機(jī)，IT支出預(yù)計(jì)將再次恢復(fù)，其中包括物聯(lián)網(wǎng)(IoT)的增長(zhǎng)。

　　物聯(lián)網(wǎng)不是一個(gè)單一的類別，而是分為許多行業(yè)和用例。ForresterResearch預(yù)測(cè)，到2021年，物聯(lián)網(wǎng)市場(chǎng)的增長(zhǎng)將由醫(yī)療保健、智能辦公室、位置服務(wù)、遠(yuǎn)程資產(chǎn)監(jiān)控和新的網(wǎng)絡(luò)技術(shù)驅(qū)動(dòng)。

　　這在很大程度上是由COVID-19的余波推動(dòng)的。遠(yuǎn)程工作的爆炸式增長(zhǎng)，以及遠(yuǎn)程醫(yī)療，在一定程度上推動(dòng)了這一趨勢(shì)。新的設(shè)備正在問世，為那些不能或不愿去看醫(yī)生的病人做診斷。

　　與成功采用物聯(lián)網(wǎng)相關(guān)的關(guān)鍵問題之一是具備足夠的安全機(jī)制。這對(duì)物聯(lián)網(wǎng)醫(yī)療設(shè)備尤其重要，因?yàn)槌鲇陔[私原因，醫(yī)療保健受到了嚴(yán)格的監(jiān)管。

　　不僅僅是保護(hù)特定的物聯(lián)網(wǎng)設(shè)備，而是保護(hù)所有設(shè)備。如果被黑客入侵，你連接的冰箱可能不會(huì)對(duì)你的家庭安全造成太大威脅，但它可以作為一個(gè)網(wǎng)關(guān)，進(jìn)入你家庭網(wǎng)絡(luò)中更重要的設(shè)備。然后它就變得和心臟監(jiān)測(cè)器一樣重要了。

　　工業(yè)物聯(lián)網(wǎng)(IIoT)也是如此。去年夏天，有消息稱俄羅斯黑客侵入了美國(guó)核電站的控制系統(tǒng)。這種妥協(xié)對(duì)全球制造業(yè)務(wù)的影響是相當(dāng)大的。

　　因此，一段時(shí)間以來，物聯(lián)網(wǎng)安全一直是IT經(jīng)理的頭等大事也就不足為奇了。

　　了解物聯(lián)網(wǎng)及其復(fù)雜性

　　物聯(lián)網(wǎng)(IoT)是連接到互聯(lián)網(wǎng)的設(shè)備集合;這些物聯(lián)網(wǎng)設(shè)備不是傳統(tǒng)的計(jì)算設(shè)備。想想那些在歷史上還沒有聯(lián)網(wǎng)的電子設(shè)備，比如復(fù)印機(jī)、冰箱、心臟和血糖儀，甚至咖啡壺。

　　物聯(lián)網(wǎng)是一個(gè)熱門話題，因?yàn)樗梢赃B接以前未連接的設(shè)備，并將連接帶到通常孤立的地方和事物。研究表明，采用物聯(lián)網(wǎng)的公司最大的好處是提高員工生產(chǎn)力、更好的遠(yuǎn)程監(jiān)控和簡(jiǎn)化流程。

　　關(guān)于物聯(lián)網(wǎng)安全，你應(yīng)該知道些什么?

　　多年來，技術(shù)領(lǐng)域出現(xiàn)了一種不幸的模式;我們急于擁抱新事物，并在稍后確保它的安全。物聯(lián)網(wǎng)設(shè)備就是這樣。他們經(jīng)常因?yàn)楹诳凸舳巧闲侣?，威脅程度從輕微到嚴(yán)重不等。

　　物聯(lián)網(wǎng)安全是國(guó)土安全部最關(guān)心的問題，該部撰寫了一篇關(guān)于物聯(lián)網(wǎng)設(shè)備安全的長(zhǎng)篇論文。雖然該文檔已經(jīng)存在5年了，而且物聯(lián)網(wǎng)世界已經(jīng)發(fā)生了很多變化，但其中列出的許多原則和最佳實(shí)踐仍然有效，值得考慮。

　　51Research的研究表明，有55%的IT專業(yè)人員將IoT安全列為重中之重，而且這一數(shù)字可能還會(huì)增長(zhǎng)。那么，您如何做才能保護(hù)您的物聯(lián)網(wǎng)設(shè)備呢?很多很多領(lǐng)域讓我們深入。

　　1)假設(shè)每個(gè)物聯(lián)網(wǎng)設(shè)備都需要配置

　　當(dāng)市場(chǎng)看到智能貓砂盒和智能鹽瓶的出現(xiàn)時(shí)，你就知道我們正處于或接近物聯(lián)網(wǎng)設(shè)備的采用高峰。但是，不要忽略這些特性，也不要認(rèn)為它們是開箱即用的安全配置。讓它們未配置或未鎖定，對(duì)黑客來說是一個(gè)突破口，不管是什么設(shè)備。

　　2)了解設(shè)備

　　你必須知道哪些類型的設(shè)備連接到你的網(wǎng)絡(luò)，并對(duì)所有連接的物聯(lián)網(wǎng)資產(chǎn)保持詳細(xì)的、最新的庫存。

　　您應(yīng)該始終保持您的資產(chǎn)地圖與每一個(gè)連接到網(wǎng)絡(luò)的新物聯(lián)網(wǎng)設(shè)備的最新，并盡可能多地了解它。需要了解的事實(shí)包括制造商和型號(hào)ID、序列號(hào)、軟件和固件版本，等等。

　　3)需要強(qiáng)大的登錄憑證

　　人們傾向于在所有設(shè)備上使用相同的登錄名和密碼，而且通常密碼都很簡(jiǎn)單。

　　確保每個(gè)員工的每次登錄都是唯一的，并要求設(shè)置強(qiáng)密碼。如果可用，請(qǐng)使用雙因素授權(quán)，并始終在新設(shè)備上更改默認(rèn)密碼。為了確?？尚诺倪B接，使用公鑰基礎(chǔ)設(shè)施(PKI)和數(shù)字證書為設(shè)備身份和信任提供安全的基礎(chǔ)。

　　4)使用端到端加密

　　連接的設(shè)備相互通信，當(dāng)它們這樣做的時(shí)候，數(shù)據(jù)就從一個(gè)點(diǎn)傳輸?shù)搅硪粋€(gè)點(diǎn)，而且往往是在沒有加密的情況下。您需要在每次傳輸時(shí)加密數(shù)據(jù)，以防止包嗅探(一種常見的攻擊形式)。設(shè)備應(yīng)該有加密數(shù)據(jù)傳輸選項(xiàng)。如果沒有，考慮其他選擇。

　　5)確保更新設(shè)備

　　確保在第一次使用時(shí)更新設(shè)備，因?yàn)楣碳蛙浖赡茉谠O(shè)備生產(chǎn)和購買之間更新過。如果設(shè)備有自動(dòng)更新功能，啟用它，這樣你就不必手動(dòng)更新了。定期檢查設(shè)備，看看是否需要更新。

　　在服務(wù)器端，修改路由器的名稱和密碼。默認(rèn)情況下，路由器通常以制造商命名。還建議您避免在網(wǎng)絡(luò)中使用公司名稱。

　　6)禁用你不需要的功能

　　保護(hù)設(shè)備的一個(gè)很好的步驟是禁用任何你不需要的特性或功能。這包括開放的TCP/UDP端口，開放的串行端口，開放的密碼提示，未加密的通信，不安全的無線電連接或任何可以進(jìn)行代碼注入的地方，如Web服務(wù)器或數(shù)據(jù)庫。

　　7)避免使用公共Wi-Fi

　　在星巴克使用Wi-Fi并不是什么好主意，尤其是當(dāng)你連接到自己的網(wǎng)絡(luò)時(shí)。

　　公共Wi-Fi接入點(diǎn)經(jīng)常是舊的、過時(shí)的、沒有升級(jí)的，而且很容易破壞安全。如果必須使用公共Wi-Fi，請(qǐng)使用VPN(VirtualPrivateNetwork)。

　　8)建立客戶網(wǎng)絡(luò)

　　訪客網(wǎng)絡(luò)是一個(gè)很好的安全解決方案，對(duì)于那些想在家里或辦公室使用你的Wi-Fi的訪客?？蛻艟W(wǎng)絡(luò)為他們提供網(wǎng)絡(luò)訪問，但將他們與主網(wǎng)絡(luò)隔離，因此他們無法訪問你的系統(tǒng)。

　　你也可以為你的物聯(lián)網(wǎng)設(shè)備使用客用網(wǎng)絡(luò)，這樣如果設(shè)備被入侵，黑客就會(huì)被困在客用網(wǎng)絡(luò)中。

　　9)使用網(wǎng)絡(luò)分段

　　網(wǎng)絡(luò)分段是指將網(wǎng)絡(luò)劃分為兩個(gè)或多個(gè)子部分，以實(shí)現(xiàn)對(duì)設(shè)備和工作負(fù)載之間流量橫向移動(dòng)的精細(xì)控制。在不分段的網(wǎng)絡(luò)中，沒有任何東西是隔開的。每個(gè)端點(diǎn)都可以與另一個(gè)端點(diǎn)通信，因此一旦黑客突破你的防火墻，他們就擁有完全的訪問權(quán)限。在一個(gè)分段的網(wǎng)絡(luò)中，黑客移動(dòng)變得更加困難。

　　企業(yè)應(yīng)使用虛擬局域網(wǎng)(VLAN)配置和下一代防火墻策略來實(shí)施將物聯(lián)網(wǎng)設(shè)備與IT資產(chǎn)分開的網(wǎng)段。這樣，兩個(gè)組都可以受到保護(hù)，不會(huì)受到橫向攻擊的可能性。

　　還可以考慮部署零信任網(wǎng)絡(luò)體系結(jié)構(gòu)。顧名思義，零信任基本上保護(hù)了每一個(gè)數(shù)字資產(chǎn)，并且不假定來自另一個(gè)數(shù)字資產(chǎn)的信任，從而限制了未經(jīng)授權(quán)訪問的人的移動(dòng)。

　　10)主動(dòng)監(jiān)控物聯(lián)網(wǎng)設(shè)備

　　我們?cè)僭趺磸?qiáng)調(diào)這一點(diǎn)也不為過:實(shí)時(shí)監(jiān)控、報(bào)告和警報(bào)對(duì)于組織管理物聯(lián)網(wǎng)風(fēng)險(xiǎn)是必不可少的。

　　傳統(tǒng)的端點(diǎn)安全解決方案通常不能與物聯(lián)網(wǎng)設(shè)備一起工作，因此需要一種新的方法。這意味著對(duì)異常行為進(jìn)行實(shí)時(shí)監(jiān)控。就像零信任網(wǎng)絡(luò)一樣，不要讓物聯(lián)網(wǎng)設(shè)備在沒有持續(xù)關(guān)注的情況下訪問你的網(wǎng)絡(luò)。