解決企業物聯網安全問題的最佳實踐

Bob Violino

物聯網的優勢非常巨大，而下列步驟可以幫助我們在較低安全風險下獲取這些優勢。

物聯網（IoT）已經為企業描繪出了許多美麗的前景，包括豐富的數據供應，而這些數據可以讓企業更高效地為客戶服務。但盡管如此，企業還是有著諸多顧慮。

因為有很多的設備、產品、資產、交通工具、建筑等都將被連接，這就存在著黑客和網絡不法分子嘗試利用其中的漏洞進行入侵并加以惡意利用的可能性。

研究與咨詢公司ITIC首席分析師Laura DiDio稱：“在物聯網生態環境中，形形色色的設備、應用和人通過五花八門的連接機制被連接在一起，攻擊向量或攻擊面可能將變得不計其數。”

“從網絡邊緣/周界到企業服務器和主要業務應用，再到終端用戶設備乃至傳輸機制，網絡中的任何一個節點都容易受到攻擊。這些節點中的任意一個甚至所有節點都可能會被惡意利用。”

因此，物聯網安全成了許多企業關注的重點。研究公司451 Research近期對全球600多名IT決策者展開了一項在線調查。當受訪者被要求針對現有的或規劃中的物聯網方案對企業優先考慮的技術或流程進行排名時，55%的受訪者將物聯網安全作為其首要任務。報告指出，物聯網的本質使得防范攻擊變得尤其具有挑戰性。

企業可以采取什么措施來加強物聯網環境的安全性呢？以下是行業專家給出的一些最佳實踐。

識別、追蹤和管理終端設備

在不知道哪些設備被連接以及沒有追蹤它們的行為的情況下，確保這些終端的安全非常困難甚至是不可能的。

市場研究公司Gartner的研究總監Ruggero Contu稱：“這是一個關鍵領域。對企業來說，一個關鍵問題是要獲得對智能接入設備的完全可視性。這是一個對操作和安全方面都有關系的要求。”

IDC數據安全實踐部門研究主管Robert Westervelt稱：“對于一些企業來說，發現和識別更多的是資產管理問題而非安全問題。在這一領域中，網絡訪問控制與編排廠商正在通過添加安全連接組件和監測潛在威脅征兆等措施讓他們的產品能夠有針對性地解決這一問題。”

DiDio指出，企業應當擁有一張包含了物聯網網絡中所有設備的完整清單，并搜索那些可能存在后門或開放端口的被遺忘設備。

在發現安全漏洞后及時修補

物聯網專家、咨詢公司IP Architects總裁John Pironti指出，及時進行修補是良好的IT安全防護的基本理念之一。

Pironti 稱：“如果出現了一個針對某個物聯網設備的安全補丁，那么這一定是一個得到了設備廠商確認的漏洞，及時打上補丁就是及時進行補救。一旦廠商發布了補丁，那么問題的責任就由廠商轉移到了使用該設備的企業身上。”

Westervelt表示，使用漏洞與配置管理可能會有一定的意義，漏洞掃描產品在一些情況下會提供相關的補丁。然后要做的事是打上補丁進行修補。但是，他指出，“與為企業打補丁相比，配置管理有可能會成為一個更大的漏洞。”

一定要記住物聯網補丁管理非常困難，這一點非常重要，Contu強調稱。“這也是為什么執行一套完整的資產發現流程以識別企業可能在哪里存在漏洞非常重要的原因。不可能總會找到現成的相關補丁，因此有必要尋求備份的措施和方案來確保安全性。”監控網絡流量就是對無法獲取相關補丁的一種彌補措施，Contu說。

優先考慮最具價值的物聯網基礎設施安全

物聯網世界中所有的數據并不都是平等的。Pironti 稱：“對于物聯網安全，要采取基于風險的解決方案，以確保高價值資產被優先對待，并根據它們對公司的價值和重要性予以保護。這一點非常重要。”

公司可能要不得不應對海量的物聯網設備。與以前應對的傳統IT設備相比，這些物聯網設備正在以指數級方式增長。Pironti稱：“認為所有這些設備都能夠在一個較短時間內被打上補丁的想法往往是不現實的。”

在物聯網軟硬件部署前進行滲透測試

如果將這一工作外包給服務提供商或咨詢公司，一定要明確需要進行什么類型的滲透測試。

Westervelt稱：“我要求滲透測試人員在進行網絡滲透測試的同時要確保網絡分段的完整性。一些環境還需要對無線基礎設施進行評估。我認為除了一些特殊的情況外，目前在物聯網中應用滲透測試的優先等級要相對低一些。”

Contu認為滲透測試應當成為風險評估項目的一部分。他稱：“我們預測與這些行為有關的安全認證需求會越來越多。”

如果真的發生了與物聯網有關的攻擊，要立即做好采取行動的準備。DiDio 稱：“制訂一個安全響應計劃，并針對攻擊進行相應的指導和管控。要建立起一條責任與指揮鏈，以防被成功入侵。”

了解物聯網與數據交互的方式以識別異常情況，保護個人信息

Westervelt稱，我們可能會將重點放在確保傳感器數據的收集與匯聚的安全性上。根據設備即將被部署的地點和設備風險預測，這需要網絡安全和物理反篡改功能。

他稱：“根據收集到的數據的敏感性，可能需要硬件和/或軟件加密以及PKI（公鑰基礎設施）以驗證設備、傳感器和其他組件。根據設備的功能，如POS系統等其他物聯網設備可能需要白名單、操作系統限制和反惡意軟件。”

不要使用默認的安全設置

在一些情況下，公司將會根據自己面臨的安全情況選擇相應的安全設置。

Westervelt 稱：“如果某個網絡安全設備被應用到一個關鍵節點，那么一些企業可能會選擇僅以被動模式部署該設備。記住，在工業生產過程中，雖然我們看到物聯網傳感器和設備正在被部署，但是誤報也可能極其嚴重。阻止一些重要的事情進行可能會導致爆炸，甚至引發工業機械停工，這些代價都是極為昂貴的。”

修改安全設置也適用于那些通過物聯網接入的設備。例如，已經出現了通過入侵數百萬臺使用默認設置的視頻攝像頭發起的分布式拒絕服務攻擊。

提供安全的遠程訪問

Westervelt指出，遠程訪問漏洞一直是攻擊者所喜愛的目標，而在物聯網中，許多企業正在想辦法讓合同商能夠遠程訪問一些特定的設備。

Westervelt 稱：“企業必須要確保提供遠程訪問的所有解決方案在使用時都已被正確配置，并且有相應的機制在適當的位置能夠監控、許可和撤消遠程訪問。在一些高風險環境中，如果要考慮遠程訪問軟件，那就應當徹底檢查所有的漏洞。”

對網絡進行分段以確保設備間的通信安全

Pironti稱，在網絡中對物聯網設備進行分隔可以讓企業在發現設備有惡意行為時限制它們的影響范圍。

他稱：“一旦惡意行為被識別為來自某臺物聯網設備，那么在被調查和修復前，可以斷開該臺設備與網絡中其他設備的通信。”

Pironti指出，在分隔物聯網設備時，重要的是要在物聯網網段和其他網段之間實現一個檢測要素或檢測層以創建一個通用檢測點。在這個檢測點，企業可以決定哪些類型的流量允許在網絡之間流動，以及對流量進行有意義的重點檢查。

這使得企業能夠僅針對特定的流量類型和典型的物聯網設備行為指導檢測行為，而不用對所有的流量類型都進行解釋說明，Pironti說。

關注企業員工和安全策略

物聯網并不僅僅是要確保設備和網絡的安全。DiDio指出，在確保物聯網生態系統安全的過程，人員因素也非常關鍵。

她說：“安全性有一半在于設備和保護、追蹤與認證機制，另一半則在于管理和監督物聯網生態系統的人的責任心。從高級主管到IT部門、安全管理員和終端用戶，所有的利害關系人都必須要全部參與到抵御攻擊保護物聯網生態系統安全的行動中。這是非常必要的。”

此外，還要對現有的企業計算機安全策略和程序進行評估和更新。DiDio 稱：“如果企業的策略是在一年之前制定的，那么它們已經過時并需要針對物聯網部署進行修訂。確保企業的計算機安全策略和程序對于第一次、第二次和第三次違反行為的處罰措施有著清楚而詳細的規定。這里面要包括從第一次違反時的警告到重復違反時的解雇等方方面面的所有東西。”

本文作者Bob Violino為計算機世界、CIO、CSO、信息世界和網絡世界等網站的特約撰稿人。

原文網址

https：//www.networkworld.com/article/3269165/internet-of-things/a-corporate-guide-to-addressing-iot-security-concerns.html