防御物聯網的安全威脅

安全專家一直在警告網絡攻擊的風險，但與物聯網有關的風險卻未得到應有的重視。事實上，成功的物聯網攻擊已經有了很多實例。因此，重視物聯網安全已刻不容緩。

各種物聯網設備（物理安全系統、各種器具、空調系統，以及基于人工智能的自動代理，如聊天機器人等）都會將公司和消費者等暴露在大量的安全威脅中。那么，應如何防御這種威脅？

物聯網設備的數量正以令人吃驚的速度增長。因而，我們必須將其看作是要求保護措施的更大攻擊面的一部分。雖然消費類物聯網設備（如家用自動系統、智能穿戴設備）往往更引人注意，但物聯網設備的最大比重并不在家中，而是在制造廠商、零售企業、健康行業。

在這些垂直領域中，物聯網的較高利用率與物聯網設備所提供的利益密切有關，包括跟蹤設備、管理機器、增加效率、改善客戶交互和服務、減少維護成本，甚至挽救生命。物聯網有巨大的業務價值，也會帶來需要解決的重大安全威脅。

如果員工的智能手表被攻擊并且公司無線密碼被竊取，該設備就進入了企業攻擊面的范圍。更復雜的是，物聯網產品的發展往往領先于無常見的安全框架或標準的產生。在很多物聯網產品中，安全只是事后才考慮的問題。

在過去，專有技術和競爭利益使得真正開放和安全的網絡發展非常困難。可信任物聯網聯盟等的出現帶來了新希望，但它對促進開源的區塊鏈協議的內在關注也可以成為影響其成功的不利因素。解決物聯網設備中缺乏安全性的最實用方法是，建立能夠要求使用可信任網絡和可信任操作系統的新標準和新規范。在這方面，包括中國在內的世界各國都在制定相關的物聯網安全法律法規，這確實是一個良好的開端。

但是，這些新事物的發展需要花費幾年時間才能不斷地從起步到成熟，關注物聯網安全的企業應當遵循如下最基本的安全防御：

首先，要基于標準友好的輻射型網絡互聯協議，只有這樣做更不易遭受攻擊。

其次，實施成熟的身份和訪問管理措施，這不僅可以保障應用程序、工作站、服務器的安全，還可以更好地保障物聯網設備的安全。

第三，要擴展滲透測試的范圍，使其包含物聯網設備。

從根本上講，企業必須充分利用新技術，以提升企業效率。但安全人員必須將攻擊面的視角擴展到物聯網。這種變化包括從基于外圍的安全變為以身份為中心的安全，要確保只有經過驗證的用戶和設備才能獲得對敏感資源的訪問權。