关（guān）于物（wù）联网使用安全的注（zhù）意（yì）事项

企（qǐ）业的（de）安全团队应该采（cǎi）取（qǔ）一些措施和（hé）步骤，为2020年物联网面临不断发展的安全威胁做好准备（bèi）。

在新的一年到来的时候，安全（quán）行业的人士（shì）总在问这些问题：在未来一年面临的安全挑战是否（fǒu）与往年（nián）有所不（bú）同？企业是否应该（gāi）改变防御策略，尤其是（shì）在运营技术（OT）、物（wù）联网（wǎng）（IoT）和关键基础设施组件（jiàn）方面？

安全厂商Nominet公司网（wǎng）络安全副总裁StuartReed表示（shì）：“在网（wǎng）络安全（quán）的（de）总体趋势中，我们看（kàn）到的是，这（zhè）里一直都是一个充满活力的地方，但现在（zài）网络攻击没（méi）有界限。”他（tā）解释说，那些（xiē）针对运营技术（OT）跨越（yuè）边（biān）界（jiè）的（de）网络攻击可能（néng）会产生超出IT系（xì）统之外（wài），甚至对人（rén）类的生命和（hé）安全产生直接影响。

运（yùn）营（yíng）技术（OT）和（hé）物（wù）联网（IoT）设备的安全性工（gōng）作很复杂，而运（yùn）营技（jì）术（OT）和物联网（IoT）的设计（jì）安全性（xìng）目前不是IT系统的标准（zhǔn）。Reed说：“许多控制系统和运（yùn）营技（jì）术（OT）基础（chǔ）设施从来（lái）没有设计过以数字方式连接到其他任何地方（fāng）。”他解释说，但是数字化（huà）的持续发展（zhǎn）趋势意味（wèi）着很少（shǎo）有运营技术（OT）系统（tǒng）可（kě）以长期隔（gé）离网络（luò）攻（gōng）击。

随着网络犯罪分子（zǐ）和激进国家的网络威胁（xié）不（bú）断发展，安全团队应采取（qǔ）哪些步骤来（lái）保护（hù）其组织拥有的运营技术（OT）和物联网（IoT）系统？网（wǎng）络（luò）安全专家（jiā）对如何应对2020年物联网威胁提出了一些建议。他们希望（wàng）在未来一年无论威胁（xié）环境如何变化，都（dōu）确（què）保（bǎo）其运营技术（shù）（OT）系统（tǒng）尽可（kě）能安全（quán）。以下是网络安（ān）全专家提出的七个安全注意（yì）事项：

1.注（zhù）意边

nVisium公司首席（xí）执行官JackMannino说：“随（suí）着边缘计算和（hé）分布式传（chuán）感器（qì）网（wǎng）络的增长，云（yún）计算（suàn）基础设施和边缘设（shè）备成为网络攻击者越（yuè）来越关注的目标。使边缘设备不受攻击者控制（zhì）的关键是采用（yòng）混（hún）合方法来解决问题。”

Mannino说，“边缘（yuán）计算需要（yào）采（cǎi）用（yòng）混合云（yún）方法，其中边缘设备和云计算（suàn）服务必须在每一层（céng）建（jiàn）立信任。用户决（jué）定（dìng）如何建立信任并成为业（yè）务流程（chéng）的一部分，首先要详细分析（xī）边缘设备（bèi）如何（hé）生成数据、生（shēng）成什么（me）类型的数据，以及将数据（jù）传输到应用程序基（jī）础架构的（de）其余部（bù）分的过（guò）程（chéng）。”

就像传统的（de）IT攻击者通常选择用户（hù）作为（wéi）进（jìn）入网络的方式一样，那些想要（yào）破（pò）坏（huài）企业物联网设备的网络（luò）攻击者可能会看到边缘设备（bèi）托管最简单的进入端口，这使用户将注意（yì）力集中在（zài）网（wǎng）络中（zhōng）心上，忽视了边缘上比较（jiào）脆弱（ruò）的设（shè）备。

2.安（ān）全培训（xùn）

Reed说，尽管（guǎn）恶意软件和基于物联网（wǎng）的攻（gōng）击变得越来（lái）越（yuè）复杂，但成（chéng）功进行（háng）攻击并（bìng）不（bú）需要高度复杂的技术。他解释说：“如（rú）果人们不（bú）了解自（zì）己在良好的网络卫生中所扮演的角色和责（zé）任，那么可能会（huì）发生一些非常基（jī）本（běn）的攻击。”

这些（xiē）角色和职责包括一些显而（ér）易见的要点，比如不要点击（jī）来（lái）自未知或（huò）意（yì）外来源的附件，但它们远（yuǎn）远超（chāo）出（chū）了这些基本要（yào）求。毕竟，保护重要的数（shù）据和基础设施，InformationSecurityForum常务董事（shì）SteveDurbin表示：“首先要求最（zuì）终用户接受数据需要保护的（de）理念（niàn）。由于有着不同的社（shè）会规（guī）范，涉（shè）及数据的（de）公认价值，因此（cǐ）需要保护数据，以（yǐ）及谁应该首先负（fù）责（zé）保护（hù）数据。”

Reed说（shuō），最（zuì）大（dà）限（xiàn）度（dù）地降低员工（gōng）行为（wéi）风险的（de）关键（jiàn）是安全教育和培训。他（tā）解释说（shuō）：“除了培训课程，我认为安（ān）全教育可以（yǐ）采取（qǔ）多种不同的形式（shì）。例如在线媒体在更广阔网（wǎng）络安全（quán）教育（yù）方面扮演着非常关键的角色。”

3.物联网的可见性

与安全（quán）专家进行对话时，一个共（gòng）同的主题是需要更好地了解用户的（de）网络和基础设施。这种需（xū）求不会（huì）随着（zhe）传统IT和物联网设备（bèi）之间的划分而停（tíng）止。

ThycoTIc公司首席（xí）安全科（kē）学家Carson说：“如果没有物联网设备及其带来（lái）的风险，就无法确定物（wù）联网数据的潜在安全和隐（yǐn）私风险。要了解物联网（wǎng）设（shè）备的风险（xiǎn），用（yòng）户首先想知道其功能（néng）或用途（tú），例（lì）如是数据（jù）收集（jí）器（qì）、数据处（chù）理器（qì）还是数据相关器（qì）。在确（què）定作为基础设施的一部分的设备之后，了解（jiě）功能是第二步。”

安全专业人员在提高其整体基础设（shè）施的物联网的（de）可见性方（fāng）面应该做些什么？nVisium公司Mannino说，“这项工作应（yīng）该从对物（wù）联（lián）网设备等资产的架构蓝图进行一（yī）致的安（ān）全分析，以找出缺失（shī）和设计错误（wù）的架（jià）构控（kòng）制，并在允许（xǔ）的情况下（xià）采用（yòng）一致的（de）安全代码分（fèn）析。”

4.消费者设备问题

如果用（yòng）户（hù）有一个网络，则很有可能将消费类设（shè）备连接到基础设施。企业员工已将消费类设备作为日常生活的一部分，大多数员（yuán）工（gōng）都（dōu）不愿意（yì）放弃这些设备的优势。Durbin说，“当这些（xiē）消费者工作时，他们也希望将这些功能强大的设备用于业务应用，而在过（guò）去（qù）的几年中（zhōng），这导致组织与（yǔ）个人之（zhī）间，个人信息与（yǔ）公（gōng）开可用的详（xiáng）细信息（xī）之间的界限越来越模糊。”

在许多情况（kuàng）下（xià），问（wèn）题并非始于员工（gōng）使用自己的设（shè）备，而是始（shǐ）于许多（duō）消（xiāo）费类设备在设计之初就并未被设计为安（ān）全的业务设备（bèi）。此外，Dubirn说，“这些设备的使（shǐ）用方式模糊了个人和企业使用与行为之间（jiān）的界限。其潜（qián）在的（de）风险包括滥用设备本身（shēn）、外部（bù）利用软件漏（lòu）洞，以及部署未经测试（shì）的、不可靠的（de）业务应（yīng）用（yòng）程序。”

在处（chù）理整个（gè）物联网环境中（zhōng）可能涉（shè）及的（de）云（yún）计算服务和物（wù）联（lián）网设备时，安全专业人员需要积极（jí）与他们的供应商（shāng）和（hé）合作伙伴互动，以确保基本组件（jiàn）能够安全使用。例如，Acceptto公司首席安全架构师FaustoOliveira表示，物联网设备必须具有更改（gǎi）默认用（yòng）户名和密（mì）码的能力，以及与网（wǎng）络中上游和下游系统进行（háng）加密通（tōng）信的能力。Oliveira说：“企业需要供应商提供强有力的指（zhǐ）导，并确保在选择过程中，安（ān）全是一项（xiàng）明确定义的功能。”他表（biǎo）示（shì），这符合供应商及其用户的最大利益，以确保整个系统尽可能安全（quán）。

5.物联网连接安全性

当然会有一些小型组织（以及（jí）高度（dù）安全的政府或军事机构（gòu））的（de）物联网（wǎng）设备不包含互联网连接。但是对于（yú）大多数（shù）组织（zhī）而言，移（yí）动、分析（xī）和使用其边（biān）缘设（shè）备中的数据意味（wèi）着将设备连接到全（quán）球互联网和（hé）一（yī）个或多个（gè）云计算服务。nVisium公司的Mannino指出，“随（suí）着边（biān）缘计（jì）算（suàn）和分布式（shì）传感（gǎn）器（qì）网络的增加，云计算基础设施和边（biān）缘设备已成为一种趋势。而（ér）这对于网（wǎng）络攻击（jī）者（zhě）来（lái）说越来越有吸引力。”

Vectra公（gōng）司安全分析主管（guǎn）ChrisMorales简（jiǎn）洁（jié）地（dì）解（jiě）释了这一点。他说，“与传统的桌面系统不同，物联网（wǎng）设备需要确保存储和锁定的数据不会被窥视，物联网设备被设计（jì）为（wéi）彼此共享信息，并共享（xiǎng）到远程存储（chǔ）位置进（jìn）行分析，并为企业提供对其（qí）数据的远程访问。这通常需要（yào）物联网设（shè）备（bèi）制造商托管的云存储。”

在处理可能涉及（jí）整个物联网环境的云（yún）计算服务和（hé）物联网（wǎng）设备时，安全专（zhuān）业人（rén）员需要积极与其（qí）供应商和（hé）合作伙伴接洽，以确（què）保基本组件能够安（ān）全（quán）使用（yòng）。例如，Acceptto公（gōng）司首席安全（quán）架（jià）构师（shī）FaustoOliveira表示（shì），设备必须能够更改默认用户名和密码，以及与网络上下游系（xì）统进（jìn）行加密通信（xìn）的（de）能力。他说，“组（zǔ）织（zhī）需要向供应商提供强（qiáng）有力的（de）指导，并确保在选择过程中，安全性（xìng）是一（yī）个明确定义的特性，是不可选择的，确保整（zhěng）个系（xì）统尽（jìn）可能安全符合供应商和（hé）客户的最大利益。”

6.专（zhuān）注于（yú）物联（lián）网设备敏捷性

物（wù）联网的（de）两个特点使扩展运营技（jì）术（shù）（OT）变（biàn）得如此脆弱，这就是大（dà）量物联网设备的不（bú）可（kě）改变的（de）特（tè）性。易受攻击（jī）、静态和（hé）持久性并（bìng）不是（shì）大（dà）多数专（zhuān）业人（rén）员在安全基（jī）础设施中需要（yào）的特性。

Acceptto公司的（de）Oliveira说：“需要取（qǔ）消默（mò）认用户名和密（mì）码以（yǐ）及不（bú）安全（quán）的协（xié）议（如telnet），并采用更好（hǎo）的方法来实现可管理（lǐ）性，而（ér）无需使用易于（yú）妥协（xié）的默认帐（zhàng）户和不安全的协议。”他（tā）坚持（chí）认为，仅向供应商强调（diào）他们的设备必须允（yǔn）许更（gèng）改默认凭据（jù）和（hé）协议是不够的。用（yòng）户必须（xū）将这些作为购买设备的要求（qiú）。

Oliveira说：“物联网设备需要（yào）被视为任（rèn）何安全资产，因此需要定期管理和审核漏（lòu）洞。”Nominet的Reed也（yě）对此表示认同，他（tā）说，“全面的从业人员必须确保他们（men）具有正确（què）的审（shěn）核、控制、政策（cè），以便能够放心地了解与他们合作的（de）第三方，并（bìng）且采取更好的安全措施。”

他们都承（chéng）认，如果无（wú）法重新配置基础设施中的（de）设备（bèi）来解决漏洞，那（nà）么（me）可靠的审核和监视的（de）影响将会非常有限（xiàn）。

7.无情数据

物联网的数据生成能力需要符合欧盟的《通（tōng）用数据保护（hù）条（tiáo）例》和最新的（de）《加（jiā）州消费者隐私（sī）法（fǎ）》等法规的要（yào）求。因此，Vectra公（gōng）司的Morales说（shuō），“企业需要更加注意设（shè）备收集的数据类（lèi）型以及如何（hé）使用这（zhè）些（xiē）数据。”他（tā）指出，在摄像头（tóu）、GPS跟踪系统和传感器跟踪业务的每个阶段生成（chéng）数据的时（shí）代（dài），保护（hù）个人隐私（sī）对（duì）于保护用（yòng）户信息（xī）自由至关重要。

Morales说（shuō）：“物联网（wǎng）设（shè）备旨在（zài）相互共（gòng）享信息，并共享给远（yuǎn）程存储（chǔ）位置以进行分析，并为（wéi）企业提供对其数据的远程访问（wèn）。而且，数（shù）据必须在设备中以及从业（yè）务流程的一个（gè）阶段转移（yí）到另一个（gè）阶段时都受到保护。”

Acceptto公司的Oliveira说，“与设备之间的（de）所有通信都必须（xū）加密，并且在理想情（qíng）况下，数据（jù）流量必（bì）须受基于场景和基于角（jiǎo）色（sè）的访问控制，除非（fēi）在特殊的（de）情况下，否则没有理由（yóu）让设（shè）备可以通过全球（qiú）互联（lián）网（wǎng）进行（háng）连接。”

要（yào）了解（jiě）如（rú）何将“无情数据”应用到（dào）物联网的各个部分，首先（xiān）要了解（jiě）基础设施及其启用（yòng）的业务流程。ThycoTIc公司（sī）的Carson说：“如果没有物联网设（shè）备带来的风险，就无法确定（dìng）其数据的潜在安全性和隐私风险。在了解物联（lián）网设备（bèi）的作用以及（jí）与之相关（guān）的数据后，就可以评估采用物联网设备带（dài）来的风险。”