物聯網安全：究竟該由誰來擔責？

Maciej Kranz

自“物聯網”成為專業術語以來已經過去了近二十年時間，但是我們仍然在追問一個同樣的問題：“保護數以億計的物聯網設備的安全是誰的職責。”考慮到這一市場的最新進展，有人可能認為我們現在已經搞清楚了其中的答案，但事情并非如此簡單。

盡管物聯網安全長期以來一直是熱門的討論話題，但是它正變得越來越重要，越來越具挑戰性。首先，由操作技術（OT）獨自負責保護物聯網安全的日子已經一去不復返了，其通常“通過隱匿性來實現安全”，即在物理上將產品操作、工業網絡與企業網絡和互聯網隔離起來。雖然企業已經意識到需要將IT與OT整合起來從而推動新的使用案例，在網絡和應用之間實現開放的數據流，支持更好的業務決策，降低成本，減少復雜性，但IT與OT實踐之間的諸多差距正成為新的攻擊面。

其次，網絡中的不法分子通過發現這些脆弱的攻擊面，正越來越多地將物聯網作為目標。研究顯示，將由物聯網僵尸網絡中的物聯網設備發起的DDoS（分布式拒絕服務）攻擊正呈上升趨勢。例如，Mirai僵尸網絡病毒已經感染了數十萬物聯網設備，這讓它們有能力協同發起大規模網絡攻擊。

再次，對于物聯網安全而言，每個垂直領域都不相同，一些涉及核心的或關鍵任務基礎設施，以及各種不同的規定。例如，在公共事業行業，美國政府近期強制將第五版NERC CIP（北美電力可靠性委員會關鍵基礎設施保護）標準作為網絡安全標準，而醫療行業則按照HIPPA要求保護數據的安全。

雖然企業IT、首席信息安全官和各國政府在物聯網安全中發揮著核心作用，但圍繞解決關鍵的安全性、數據保護和隱私而提出的一系列要求形成共識是每個人，尤其是行業的責任。

從設備至行業標準

設備和安全廠商對于物聯網生態系統都非常關鍵。盡管如此，設備廠商還是放慢了對安全性的投資，因為這會增加成本和復雜性，拖延上市時間。隨著許多制造商在安全性上栽了跟頭，如在設備中使用默認名稱和密碼，消費性物聯網小工具的安全性輕易就受到了威脅。

在2016年一系列重大的消費級物聯網攻擊事件發生后，不僅政府開始考慮相應法規，越來越多的廠商和設備制造商也終于開始對物聯網安全進行相應的投資。

與此同時，物聯網廠商開始合力制定關于物聯網安全的標準、互操作性和相關認證。如ODVA、OPC和ISA等標準組織正努力在安全性方面與IEC 62443標準看齊。這些標準將更高層面上垂直且針對特定行業的最佳實踐與將行業安全作為常量的水平方案有機結合到了一起。IETF、工業互聯網聯盟（IIC）安全工作組和IEEE等機構正在積極地開發和探索物聯網安全架構、標準和方法以確保由不同品牌、型號和類型組成且相互連接的物聯網系統的網絡安全。這將有助于公司在開發和部署自己的物聯網解決方案時降低風險。

與傳統的IT環境相比，物聯網環境更加分散、更加多元化、更加復雜，并且往往在規模上也更加龐大。這些獨特的挑戰讓所有參與者的工作更加復雜。這為我們引出了保護物聯網安全的下一道防線——你的職責。

最佳的業務實踐

隨著廠商開始重視物聯網安全挑戰并接受互操作標準，不同行業的公司也必須要將保護物聯網安全，防范潛在的災難性網絡攻擊作為自身工作的一部分。關鍵的策略是獲取網絡、網絡端點、物聯網設備和云基礎設施的可視性。要想實現這一目標，可以考慮下列工具和最佳實踐：

1.列出接入網絡的設備和系統清單

安全團隊通常只有被管理設備的快照視圖或過時的列表進行參考。如果可能的話，讓設備搜索能夠自動地準確知道哪些設備正在運行哪些操作系統，并迅速發送補丁堵上已知漏洞。此外，還要對集中平臺進行投資，這些平臺能夠整合所有的物聯網創新，提供可視性（和安全性），并從不同系統間的數據共享中獲得新的價值。

2. 實現實時監測和漏洞檢測

對能夠密切監測網絡流量、檢測攻擊者和追蹤物聯網設備與網絡和其他設備交互方式的解決方案進行調研。如果一部物聯網設備正在掃描其他設備或是可預見的流量模式發生了變化，那么這些都是惡意行為的明顯征兆。例如，如果一部HVAC系統正在與銷售點（POS）系統通信，或是POS竟然向云端發送數據，那么我們需要迅速標記并關閉這一行為。

3. 執行基于網段和角色的訪問控制

確保只有經過授權的人、機器或進程可以訪問特定類別的設備或數據流。HVAC沒有任何理由可被允許與POS對話，不是嗎？為了阻止這種情況發生，應將這些系統隔離在一個獨立的網段內，并評估網段策略，定期測試其有效性。

4. 對員工進行培訓，讓安全意識成為一種文化

員工（無論他們的崗位是什么）應當成為抵御威脅的第一道防線。就像物聯網本身，安全教育并非一勞永逸的事情。IT和物聯網均面臨的另一個問題是60%的安全威脅源自內部。四分之一的違規事件為無意識操作，包括點擊釣魚郵件中的鏈接和為未經授權的人敞開大門。這就是我們為什么在前面提出物聯網安全是所有人的責任的原因。

盡管這些最佳實踐將幫助確保物聯網的安全，但是公司必須在物聯網安全方面采取一個基于策略的綜合性方案，將數據、設備和物理安全綜合在一起，這是一條底線。這些工作將會帶來一些新的物聯網使用案例，明確客戶的責任。隨著每年數以億計的新設備上線，為了保護物聯網系統的安全，我們將采取打破邊界或“通過隱匿性來實現安全”的防御方式。如果我們想享受互聯系統的所有便利，那么每個人都需要清楚并承擔起自己相應的責任。

請仔細思考，你在保護物聯網安全中的職責究竟是什么？