企業(yè)的安全團隊應該采取一些措施和步驟，為2020年物聯(lián)網(wǎng)面臨不斷發(fā)展的安全威脅做好準備。

在新的一年到來的時候，安全行業(yè)的人士總在問這些問題：在未來一年面臨的安全挑戰(zhàn)是否與往年有所不同？企業(yè)是否應該改變防御策略，尤其是在運營技術（OT）、物聯(lián)網(wǎng)（IoT）和關鍵基礎設施組件方面？

安全廠商Nominet公司網(wǎng)絡安全副總裁Stuart Reed表示：“在網(wǎng)絡安全的總體趨勢中，我們看到的是，這里一直都是一個充滿活力的地方，但現(xiàn)在網(wǎng)絡攻擊沒有界限。”他解釋說，那些針對運營技術（OT）跨越邊界的網(wǎng)絡攻擊可能會產生超出IT系統(tǒng)之外，甚至對人類的生命和安全產生直接影響。

運營技術（OT）和物聯(lián)網(wǎng)（IoT）設備的安全性工作很復雜，而運營技術（OT）和物聯(lián)網(wǎng)（IoT）的設計安全性目前不是IT系統(tǒng)的標準。Reed說：“許多控制系統(tǒng)和運營技術（OT）基礎設施從來沒有設計過以數(shù)字方式連接到其他任何地方?！彼忉屨f，但是數(shù)字化的持續(xù)發(fā)展趨勢意味著很少有運營技術（OT）系統(tǒng)可以長期隔離網(wǎng)絡攻擊。

隨著網(wǎng)絡犯罪分子和激進國家的網(wǎng)絡威脅不斷發(fā)展，安全團隊應采取哪些步驟來保護其組織擁有的運營技術（OT）和物聯(lián)網(wǎng)（IoT）系統(tǒng)？網(wǎng)絡安全專家對如何應對2020年物聯(lián)網(wǎng)威脅提出了一些建議。他們希望在未來一年無論威脅環(huán)境如何變化，都確保其運營技術（OT）系統(tǒng)盡可能安全。以下是網(wǎng)絡安全專家提出的七個安全注意事項：

1.注意邊緣

nVisium公司首席執(zhí)行官Jack Mannino說：“隨著邊緣計算和分布式傳感器網(wǎng)絡的增長，云計算基礎設施和邊緣設備成為網(wǎng)絡攻擊者越來越關注的目標。使邊緣設備不受攻擊者控制的關鍵是采用混合方法來解決問題?！?/p>

Mannino說，“邊緣計算需要采用混合云方法，其中邊緣設備和云計算服務必須在每一層建立信任。用戶決定如何建立信任并成為業(yè)務流程的一部分，首先要詳細分析邊緣設備如何生成數(shù)據(jù)、生成什么類型的數(shù)據(jù)，以及將數(shù)據(jù)傳輸?shù)綉贸绦蚧A架構的其余部分的過程。”

就像傳統(tǒng)的IT攻擊者通常選擇用戶作為進入網(wǎng)絡的方式一樣，那些想要破壞企業(yè)物聯(lián)網(wǎng)設備的網(wǎng)絡攻擊者可能會看到邊緣設備托管最簡單的進入端口，這使用戶將注意力集中在網(wǎng)絡中心上，忽視了邊緣上比較脆弱的設備。

2.安全培訓

Reed說，盡管惡意軟件和基于物聯(lián)網(wǎng)的攻擊變得越來越復雜，但成功進行攻擊并不需要高度復雜的技術。他解釋說：“如果人們不了解自己在良好的網(wǎng)絡衛(wèi)生中所扮演的角色和責任，那么可能會發(fā)生一些非常基本的攻擊?！?/p>

這些角色和職責包括一些顯而易見的要點，比如不要點擊來自未知或意外來源的附件，但它們遠遠超出了這些基本要求。畢竟，保護重要的數(shù)據(jù)和基礎設施，Information Security Forum常務董事Steve Durbin表示：“首先要求最終用戶接受數(shù)據(jù)需要保護的理念。由于有著不同的社會規(guī)范，涉及數(shù)據(jù)的公認價值，因此需要保護數(shù)據(jù)，以及誰應該首先負責保護數(shù)據(jù)?！?/p>

Reed說，最大限度地降低員工行為風險的關鍵是安全教育和培訓。他解釋說：“除了培訓課程，我認為安全教育可以采取多種不同的形式。例如在線媒體在更廣闊網(wǎng)絡安全教育方面扮演著非常關鍵的角色?！?/p>

3.物聯(lián)網(wǎng)的可見性

與安全專家進行對話時，一個共同的主題是需要更好地了解用戶的網(wǎng)絡和基礎設施。這種需求不會隨著傳統(tǒng)IT和物聯(lián)網(wǎng)設備之間的劃分而停止。

ThycoTIc公司首席安全科學家Carson說：“如果沒有物聯(lián)網(wǎng)設備及其帶來的風險，就無法確定物聯(lián)網(wǎng)數(shù)據(jù)的潛在安全和隱私風險。要了解物聯(lián)網(wǎng)設備的風險，用戶首先想知道其功能或用途，例如是數(shù)據(jù)收集器、數(shù)據(jù)處理器還是數(shù)據(jù)相關器。在確定作為基礎設施的一部分的設備之后，了解功能是第二步?！?/p>

安全專業(yè)人員在提高其整體基礎設施的物聯(lián)網(wǎng)的可見性方面應該做些什么？nVisium公司Mannino說，“這項工作應該從對物聯(lián)網(wǎng)設備等資產的架構藍圖進行一致的安全分析，以找出缺失和設計錯誤的架構控制，并在允許的情況下采用一致的安全代碼分析?！?/p>

4.消費者設備問題

如果用戶有一個網(wǎng)絡，則很有可能將消費類設備連接到基礎設施。企業(yè)員工已將消費類設備作為日常生活的一部分，大多數(shù)員工都不愿意放棄這些設備的優(yōu)勢。Durbin說，“當這些消費者工作時，他們也希望將這些功能強大的設備用于業(yè)務應用，而在過去的幾年中，這導致組織與個人之間，個人信息與公開可用的詳細信息之間的界限越來越模糊?！?/p>

在許多情況下，問題并非始于員工使用自己的設備，而是始于許多消費類設備在設計之初就并未被設計為安全的業(yè)務設備。此外，Dubirn說，“這些設備的使用方式模糊了個人和企業(yè)使用與行為之間的界限。其潛在的風險包括濫用設備本身、外部利用軟件漏洞，以及部署未經測試的、不可靠的業(yè)務應用程序?！?/p>

在處理整個物聯(lián)網(wǎng)環(huán)境中可能涉及的云計算服務和物聯(lián)網(wǎng)設備時，安全專業(yè)人員需要積極與他們的供應商和合作伙伴互動，以確保基本組件能夠安全使用。例如，Acceptto公司首席安全架構師Fausto Oliveira表示，物聯(lián)網(wǎng)設備必須具有更改默認用戶名和密碼的能力，以及與網(wǎng)絡中上游和下游系統(tǒng)進行加密通信的能力。Oliveira說：“企業(yè)需要供應商提供強有力的指導，并確保在選擇過程中，安全是一項明確定義的功能?！彼硎?，這符合供應商及其用戶的最大利益，以確保整個系統(tǒng)盡可能安全。

5.物聯(lián)網(wǎng)連接安全性

當然會有一些小型組織（以及高度安全的政府或軍事機構）的物聯(lián)網(wǎng)設備不包含互聯(lián)網(wǎng)連接。但是對于大多數(shù)組織而言，移動、分析和使用其邊緣設備中的數(shù)據(jù)意味著將設備連接到全球互聯(lián)網(wǎng)和一個或多個云計算服務。nVisium公司的Mannino指出，“隨著邊緣計算和分布式傳感器網(wǎng)絡的增加，云計算基礎設施和邊緣設備已成為一種趨勢。而這對于網(wǎng)絡攻擊者來說越來越有吸引力。”

Vectra公司安全分析主管Chris Morales簡潔地解釋了這一點。他說，“與傳統(tǒng)的桌面系統(tǒng)不同，物聯(lián)網(wǎng)設備需要確保存儲和鎖定的數(shù)據(jù)不會被窺視，物聯(lián)網(wǎng)設備被設計為彼此共享信息，并共享到遠程存儲位置進行分析，并為企業(yè)提供對其數(shù)據(jù)的遠程訪問。這通常需要物聯(lián)網(wǎng)設備制造商托管的云存儲?！?/p>

在處理可能涉及整個物聯(lián)網(wǎng)環(huán)境的云計算服務和物聯(lián)網(wǎng)設備時，安全專業(yè)人員需要積極與其供應商和合作伙伴接洽，以確保基本組件能夠安全使用。例如，Acceptto公司首席安全架構師Fausto Oliveira表示，設備必須能夠更改默認用戶名和密碼，以及與網(wǎng)絡上下游系統(tǒng)進行加密通信的能力。他說，“組織需要向供應商提供強有力的指導，并確保在選擇過程中，安全性是一個明確定義的特性，是不可選擇的，確保整個系統(tǒng)盡可能安全符合供應商和客戶的最大利益?！?/p>

6.專注于物聯(lián)網(wǎng)設備敏捷性

物聯(lián)網(wǎng)的兩個特點使擴展運營技術（OT）變得如此脆弱，這就是大量物聯(lián)網(wǎng)設備的不可改變的特性。易受攻擊、靜態(tài)和持久性并不是大多數(shù)專業(yè)人員在安全基礎設施中需要的特性。

Acceptto公司的Oliveira說：“需要取消默認用戶名和密碼以及不安全的協(xié)議（如telnet），并采用更好的方法來實現(xiàn)可管理性，而無需使用易于妥協(xié)的默認帳戶和不安全的協(xié)議。”他堅持認為，僅向供應商強調他們的設備必須允許更改默認憑據(jù)和協(xié)議是不夠的。用戶必須將這些作為購買設備的要求。

Oliveira說：“物聯(lián)網(wǎng)設備需要被視為任何安全資產，因此需要定期管理和審核漏洞?！盢ominet的Reed也對此表示認同，他說，“全面的從業(yè)人員必須確保他們具有正確的審核、控制、政策，以便能夠放心地了解與他們合作的第三方，并且采取更好的安全措施。”

他們都承認，如果無法重新配置基礎設施中的設備來解決漏洞，那么可靠的審核和監(jiān)視的影響將會非常有限。

7. 無情數(shù)據(jù)

物聯(lián)網(wǎng)的數(shù)據(jù)生成能力需要符合歐盟的《通用數(shù)據(jù)保護條例》和最新的《加州消費者隱私法》等法規(guī)的要求。因此，Vectra公司的Morales說，“企業(yè)需要更加注意設備收集的數(shù)據(jù)類型以及如何使用這些數(shù)據(jù)?！彼赋觯跀z像頭、GPS跟蹤系統(tǒng)和傳感器跟蹤業(yè)務的每個階段生成數(shù)據(jù)的時代，保護個人隱私對于保護用戶信息自由至關重要。

Morales說：“物聯(lián)網(wǎng)設備旨在相互共享信息，并共享給遠程存儲位置以進行分析，并為企業(yè)提供對其數(shù)據(jù)的遠程訪問。而且，數(shù)據(jù)必須在設備中以及從業(yè)務流程的一個階段轉移到另一個階段時都受到保護?！?/p>

Acceptto公司的Oliveira說，“與設備之間的所有通信都必須加密，并且在理想情況下，數(shù)據(jù)流量必須受基于場景和基于角色的訪問控制，除非在特殊的情況下，否則沒有理由讓設備可以通過全球互聯(lián)網(wǎng)進行連接?！?/p>

要了解如何將“無情數(shù)據(jù)”應用到物聯(lián)網(wǎng)的各個部分，首先要了解基礎設施及其啟用的業(yè)務流程。ThycoTIc公司的Carson說：“如果沒有物聯(lián)網(wǎng)設備帶來的風險，就無法確定其數(shù)據(jù)的潛在安全性和隱私風險。在了解物聯(lián)網(wǎng)設備的作用以及與之相關的數(shù)據(jù)后，就可以評估采用物聯(lián)網(wǎng)設備帶來的風險?！?/p>