6月18日訊 近年來，消費市場的物聯(lián)網(wǎng)（IoT）設(shè)備呈爆炸式增長，預(yù)計到2020年全球物聯(lián)網(wǎng)設(shè)備的使用量將達到240億臺。物聯(lián)網(wǎng)設(shè)備不斷增加，隱私和敏感數(shù)據(jù)丟失等安全問題引發(fā)擔(dān)憂。智慧城市、企業(yè)也會捕獲物聯(lián)網(wǎng)中有價值的數(shù)據(jù)。攻擊者擅長利用易受攻擊的聯(lián)網(wǎng)設(shè)備作為切入點，訪問網(wǎng)絡(luò)內(nèi)的敏感數(shù)據(jù)。

以色列物聯(lián)網(wǎng)安全公司 SecuriThings 的營銷副總裁尤塔姆·古特曼表示，物聯(lián)網(wǎng)設(shè)備的安全性在變得更好之前會越來越糟。

企業(yè)面臨的物聯(lián)網(wǎng)安全挑戰(zhàn)

每天都有大量新的設(shè)備聯(lián)網(wǎng)，大規(guī)模攻擊將使得個人、企業(yè)和監(jiān)管機構(gòu)要求物聯(lián)網(wǎng)服務(wù)提供商提供更具安全性的產(chǎn)品。在這一過程中，若存在成熟的安全解決方案，這些方案可能規(guī)模化以降低威脅。在與企業(yè)意識和預(yù)算充足的情況下，企業(yè)便能有效降低安全風(fēng)險。

古特曼表示，企業(yè)面臨著諸多物聯(lián)網(wǎng)安全挑戰(zhàn)，其最突出的挑戰(zhàn)是對如何采用安全性策略缺乏意識。IT 人員的職責(zé)是保護涉及參數(shù)的 IT 系統(tǒng)，而物聯(lián)網(wǎng)設(shè)備直接與云對話，這是一個截然不同的環(huán)境。他擔(dān)心，部分組織機構(gòu)會認為物聯(lián)網(wǎng)安全影響 IoT 設(shè)備的運作方式。同樣，企業(yè)與安全提供商之間的信任有時也存在不確定性。

除此之外，企業(yè)還應(yīng)要求部署安全機制的服務(wù)提供商提供可見性解決方案，使其能了解設(shè)備內(nèi)發(fā)生的情況，以便在其遭受感染時，將其斷網(wǎng)并移除。

以下為古特曼給出的保護 IoT 設(shè)備的相關(guān)建議：

保護企業(yè)物聯(lián)網(wǎng)安全之8大策略

一、僅在必要時聯(lián)網(wǎng)

智能設(shè)備的具體安全準(zhǔn)則是：不必要對互聯(lián)網(wǎng)開放時，則不聯(lián)網(wǎng)。例如，恒溫器在本地可運行時就可以不用連接到互聯(lián)網(wǎng)。

二、將基本的 IT 安全程序應(yīng)用到物聯(lián)網(wǎng)安全

管理用戶訪問設(shè)備、使用強密碼和用戶名的流程，避免使用設(shè)備的默認設(shè)置和密碼。

三、勿忽視由第三方托管或安裝的 IoT 設(shè)備

企業(yè)經(jīng)常會通過物聯(lián)網(wǎng)服務(wù)提供商安裝和操作物聯(lián)網(wǎng)設(shè)備（例如遠程安全監(jiān)控）。然而，這些設(shè)備可能會導(dǎo)致隱私泄露和安全事件，因此，企業(yè)有必要對這些設(shè)備進行監(jiān)控，即使這些設(shè)備在技術(shù)上將并不屬于企業(yè)（這種情況下，責(zé)任在于物聯(lián)網(wǎng)服務(wù)提供商）。

四、內(nèi)部威脅不容忽視

物聯(lián)網(wǎng)也可能會被內(nèi)部工作人員利用，以收集敏感數(shù)據(jù)，因此企業(yè)需采用嚴格的訪問管理流程，監(jiān)控用戶、管理員和技術(shù)人員的行為。

五、考慮隱私問題

物聯(lián)網(wǎng)設(shè)備可收集極其敏感的信息、錄像、錄音等，因此在部署物聯(lián)網(wǎng)設(shè)備時應(yīng)當(dāng)考慮隱私和和法律問題。

六、 實時監(jiān)控

實時監(jiān)控，隨后進行調(diào)查和采取補救措施。物聯(lián)網(wǎng)安全解決方案應(yīng)當(dāng)允許企業(yè)實時識別黑客攻擊嘗試，并對其進行阻止和調(diào)查。

七、制定物聯(lián)網(wǎng)安全事件應(yīng)急響應(yīng)計劃

像 IT 安全一樣，組織機構(gòu)需要制定物聯(lián)網(wǎng)安全計劃。然而與 IT 安全不同的是，入侵物聯(lián)網(wǎng)設(shè)備可能會產(chǎn)生現(xiàn)實的影響，因此企業(yè)必須制定應(yīng)急計劃，以便在事件發(fā)生時迅速采取行動。

例如，物聯(lián)網(wǎng)設(shè)備在遭遇感染時，提前考慮“是否應(yīng)斷開設(shè)備？是否應(yīng)重啟設(shè)備？如果某些設(shè)備在執(zhí)行關(guān)鍵任務(wù)，是否應(yīng)讓設(shè)備在線，直到被替換？”等等問題。

八、讓利益相關(guān)者參與計劃階段

維護 IT 安全是首席信息官（CIO）/IT 部門的職責(zé)，而物聯(lián)網(wǎng)則涉及業(yè)務(wù)、運營、IT 基礎(chǔ)設(shè)施、物理安全和其它利益相關(guān)者，所有利益相關(guān)者均應(yīng)參與設(shè)計物聯(lián)網(wǎng)安全解決方案和協(xié)議。