“物聯(lián)網(wǎng)”這個術(shù)語誕生至今已有近二十年，但我們?nèi)悦媾R同樣的問題：“誰負責確保數(shù)十億物聯(lián)網(wǎng)設(shè)備的安全？”鑒于近期的市場進展，你以為我們已搞清楚了這個問題，實則沒有那么簡單。

雖然物聯(lián)網(wǎng)安全一直是討論的熱門話題，但它變得比以往更重要、也更具挑戰(zhàn)性。首先，運營技術(shù)（OT）部門完全負責保護物聯(lián)網(wǎng)安全的時代已過去，之前它們將生產(chǎn)運營和工業(yè)網(wǎng)絡(luò)與企業(yè)網(wǎng)絡(luò)和互聯(lián)網(wǎng)實現(xiàn)物理分離，常采取“通過隱匿來實現(xiàn)安全”的做法。雖然企業(yè)意識到需要將IT與OT融合起來，以支持新的使用場合、支持網(wǎng)絡(luò)和應(yīng)用程序之間開放的數(shù)據(jù)流、支持更好的業(yè)務(wù)決策、降低成本以及降低復雜性，但IT實踐和OT實踐的空白當中出現(xiàn)了新的攻擊面。

其次，網(wǎng)絡(luò)犯罪分子日益暴露這些岌岌可危的攻擊面找物聯(lián)網(wǎng)下手。研究表明，由物聯(lián)網(wǎng)設(shè)備變成物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)的主體發(fā)動的DDoS（分布式拒絕服務(wù)）日益猖獗。比如說，Mirai僵尸網(wǎng)絡(luò)感染了成千上萬個物聯(lián)網(wǎng)設(shè)備，讓它們得以協(xié)同開展大規(guī)模網(wǎng)絡(luò)攻擊。

第三，說到物聯(lián)網(wǎng)安全，每個垂直領(lǐng)域有所不同，一些有關(guān)鍵或關(guān)鍵任務(wù)型基礎(chǔ)設(shè)施，還有不同的監(jiān)管法規(guī)。比如在公用事業(yè)行業(yè)，美國政府最近下令采用《北美電力可靠性公司關(guān)鍵基礎(chǔ)設(shè)施保護》（NERC CIP）第5版作為網(wǎng)絡(luò)安全標準，醫(yī)療保健行業(yè)要求遵循《健康保險可攜性及責任性法案》（HIPPA）以確保數(shù)據(jù)數(shù)據(jù)安全。

雖然全球的企業(yè)IT、首席信息安全官和政府在物聯(lián)網(wǎng)安全方面發(fā)揮著核心作用，但是圍繞一系列核心需求（以滿足安全、數(shù)據(jù)保護和隱私方面的關(guān)鍵要求）達成共識，這是每個人、尤其是行業(yè)的責任。

設(shè)備廠商和安全廠商對物聯(lián)網(wǎng)生態(tài)系統(tǒng)來說很重要。然而，設(shè)備廠商遲遲沒有大力搞好安全，原因是這會增加成本、復雜性和上市時間。鑒于許多廠商的安全做法明顯失策，比如將默認名稱和密碼做入到設(shè)備中，消費級物聯(lián)網(wǎng)設(shè)備已非常容易中招。

然而2016年爆出一系列備受矚目的消費級物聯(lián)網(wǎng)攻擊事件后，不光各國政府在考慮監(jiān)管，更多的設(shè)備廠商也終于開始在物聯(lián)網(wǎng)安全方面有適當?shù)耐度搿＿@些廠商采取雙管齊下的做法：保護設(shè)備免受網(wǎng)絡(luò)的影響，反之亦然。比如說，廠商現(xiàn)在可以通過使用IETF MUD標準為設(shè)備添加一道額外的安全，讓它們能夠“告訴”網(wǎng)絡(luò)該設(shè)備需要什么樣的訪問權(quán)限。這讓網(wǎng)絡(luò)得以拒絕該設(shè)備的任何異常請求。

同時，工業(yè)物聯(lián)網(wǎng)廠商在大力合作，為物聯(lián)網(wǎng)安全建立標準、互操作性和認證。比如說，ODVA、OPC和ISA等制造標準制定機構(gòu)努力在安全方面與IEC 62443保持一致。這些標準將較高層面的針對特定垂直行業(yè)的最佳實踐與工業(yè)安全等常見要素的橫向方法結(jié)合起來。此外，IETF、工業(yè)互聯(lián)網(wǎng)聯(lián)盟（IIC）安全工作組和IEEE等組織一直在積極開發(fā)物聯(lián)網(wǎng)安全框架、標準和方法，確保不同品牌、型號和類型的互聯(lián)物聯(lián)網(wǎng)系統(tǒng)實現(xiàn)網(wǎng)絡(luò)安全。這將幫助企業(yè)在開發(fā)和部署物聯(lián)網(wǎng)解決方案時減小風險。

物聯(lián)網(wǎng)環(huán)境比傳統(tǒng)IT環(huán)境來得更分布式、更異構(gòu)、更復雜，而且常常規(guī)模大得多，其獨特挑戰(zhàn)使各有關(guān)方的工作變得更復雜。這把我們引到了物聯(lián)網(wǎng)安全的下一道防線：所在企業(yè)。

由于廠商們奮力應(yīng)對物聯(lián)網(wǎng)安全挑戰(zhàn)，積極采用互操作性標準，各行各業(yè)的企業(yè)也要盡全力來保護物聯(lián)網(wǎng)，防止可能災難性的網(wǎng)絡(luò)攻擊。關(guān)鍵戰(zhàn)術(shù)包括深入了解企業(yè)網(wǎng)絡(luò)、網(wǎng)絡(luò)端點、物聯(lián)網(wǎng)設(shè)備和云基礎(chǔ)設(shè)施。為此，考慮采用下列工具和最佳實踐：

1. 清點連接到網(wǎng)絡(luò)的設(shè)備和系統(tǒng)

安全團隊通常只有將管理設(shè)備的快照視圖或過時列表作為參考。盡量使發(fā)現(xiàn)設(shè)備的過程自動化，準確了解哪些設(shè)備在運行哪些操作系統(tǒng)，迅速打上補丁，修復已知的安全漏洞。此外搞一個集中式平臺，可以整合所有物聯(lián)網(wǎng)項目，為你提供可見性（和安全性），以便從不同系統(tǒng)之間共享的數(shù)據(jù)獲得新的價值。

2. 采用實時監(jiān)控和泄露路徑檢測

關(guān)注這類解決方案：密切監(jiān)控網(wǎng)絡(luò)流量，檢測攻擊者，跟蹤物聯(lián)網(wǎng)設(shè)備如何與網(wǎng)絡(luò)及其他設(shè)備交互。如果物聯(lián)網(wǎng)設(shè)備在掃描另一個設(shè)備，或者原本穩(wěn)定的流量模式發(fā)生變化，這很可能表明存在惡意活動。比如說，如果暖通空調(diào)系統(tǒng)與銷售點（POS）系統(tǒng)聯(lián)系，或者如果POS突然將數(shù)據(jù)發(fā)送到云，你可以迅速標記出來，禁止該活動。

3. 實施網(wǎng)絡(luò)分段和基于角色的訪問控制

確保只有授權(quán)的人、機器或進程才能訪問某些類別的設(shè)備或數(shù)據(jù)流。根本沒有理由允許暖通空調(diào)與POS聯(lián)系。為了防止這種聯(lián)系，將這些系統(tǒng)隔離在不同的網(wǎng)段上，記得定期審查分段策略、定期測試效果。

4. 培訓員工，打造安全意識文化

你的員工（不管什么樣的角色）應(yīng)該是抵御無數(shù)威脅的第一道防線。像物聯(lián)網(wǎng)本身一樣，安全教育絕不“一勞永逸”。IT和物聯(lián)網(wǎng)面臨的另一個問題是，60%的安全威脅來自內(nèi)部。這些安全威脅中四分之一是無意的：從點擊網(wǎng)絡(luò)釣魚郵件中的鏈接，到不小心為未佩戴證件的人開大門。重申一下，確保物聯(lián)網(wǎng)安全是每個人的份內(nèi)事。

雖然這些最佳實踐有助于保護物聯(lián)網(wǎng)，但歸根結(jié)蒂企業(yè)要采取綜合的、基于策略的物聯(lián)網(wǎng)安全方法，將數(shù)據(jù)安全、設(shè)備安全和物理安全整合起來。這樣才能支持新型的物聯(lián)網(wǎng)使用場合，為客戶提供單一責任點。由于每年有數(shù)十億新設(shè)備上線，網(wǎng)絡(luò)邊界或“通過隱匿來實現(xiàn)安全”這種防御機制已無法確保物聯(lián)網(wǎng)系統(tǒng)的安全。如果我們想獲得聯(lián)網(wǎng)系統(tǒng)的全部好處，每個人都要做好份內(nèi)事。

那么，你在確保物聯(lián)網(wǎng)安全方面的角色又是什么呢？