6月18日訊 近年來，消費市場的物聯(lián)網(wǎng)（IoT）設備呈爆炸式增長，預計到2020年全球物聯(lián)網(wǎng)設備的使用量將達到240億臺。物聯(lián)網(wǎng)設備不斷增加，隱私和敏感數(shù)據(jù)丟失等安全問題引發(fā)擔憂。智慧城市、企業(yè)也會捕獲物聯(lián)網(wǎng)中有價值的數(shù)據(jù)。攻擊者擅長利用易受攻擊的聯(lián)網(wǎng)設備作為切入點，訪問網(wǎng)絡內(nèi)的敏感數(shù)據(jù)。

以色列物聯(lián)網(wǎng)安全公司 SecuriThings 的營銷副總裁尤塔姆·古特曼表示，物聯(lián)網(wǎng)設備的安全性在變得更好之前會越來越糟。

企業(yè)面臨的物聯(lián)網(wǎng)安全挑戰(zhàn)

每天都有大量新的設備聯(lián)網(wǎng)，大規(guī)模攻擊將使得個人、企業(yè)和監(jiān)管機構要求物聯(lián)網(wǎng)服務提供商提供更具安全性的產(chǎn)品。在這一過程中，若存在成熟的安全解決方案，這些方案可能規(guī)?；越档屯{。在與企業(yè)意識和預算充足的情況下，企業(yè)便能有效降低安全風險。

古特曼表示，企業(yè)面臨著諸多物聯(lián)網(wǎng)安全挑戰(zhàn)，其最突出的挑戰(zhàn)是對如何采用安全性策略缺乏意識。IT 人員的職責是保護涉及參數(shù)的 IT 系統(tǒng)，而物聯(lián)網(wǎng)設備直接與云對話，這是一個截然不同的環(huán)境。他擔心，部分組織機構會認為物聯(lián)網(wǎng)安全影響 IoT 設備的運作方式。同樣，企業(yè)與安全提供商之間的信任有時也存在不確定性。

除此之外，企業(yè)還應要求部署安全機制的服務提供商提供可見性解決方案，使其能了解設備內(nèi)發(fā)生的情況，以便在其遭受感染時，將其斷網(wǎng)并移除。

以下為古特曼給出的保護 IoT 設備的相關建議：

保護企業(yè)物聯(lián)網(wǎng)安全之8大策略

一、僅在必要時聯(lián)網(wǎng)

智能設備的具體安全準則是：不必要對互聯(lián)網(wǎng)開放時，則不聯(lián)網(wǎng)。例如，恒溫器在本地可運行時就可以不用連接到互聯(lián)網(wǎng)。

二、將基本的 IT 安全程序應用到物聯(lián)網(wǎng)安全

管理用戶訪問設備、使用強密碼和用戶名的流程，避免使用設備的默認設置和密碼。

三、勿忽視由第三方托管或安裝的 IoT 設備

企業(yè)經(jīng)常會通過物聯(lián)網(wǎng)服務提供商安裝和操作物聯(lián)網(wǎng)設備（例如遠程安全監(jiān)控）。然而，這些設備可能會導致隱私泄露和安全事件，因此，企業(yè)有必要對這些設備進行監(jiān)控，即使這些設備在技術上將并不屬于企業(yè)（這種情況下，責任在于物聯(lián)網(wǎng)服務提供商）。

四、內(nèi)部威脅不容忽視

物聯(lián)網(wǎng)也可能會被內(nèi)部工作人員利用，以收集敏感數(shù)據(jù)，因此企業(yè)需采用嚴格的訪問管理流程，監(jiān)控用戶、管理員和技術人員的行為。

五、考慮隱私問題

物聯(lián)網(wǎng)設備可收集極其敏感的信息、錄像、錄音等，因此在部署物聯(lián)網(wǎng)設備時應當考慮隱私和和法律問題。

六、 實時監(jiān)控

實時監(jiān)控，隨后進行調(diào)查和采取補救措施。物聯(lián)網(wǎng)安全解決方案應當允許企業(yè)實時識別黑客攻擊嘗試，并對其進行阻止和調(diào)查。

七、制定物聯(lián)網(wǎng)安全事件應急響應計劃

像 IT 安全一樣，組織機構需要制定物聯(lián)網(wǎng)安全計劃。然而與 IT 安全不同的是，入侵物聯(lián)網(wǎng)設備可能會產(chǎn)生現(xiàn)實的影響，因此企業(yè)必須制定應急計劃，以便在事件發(fā)生時迅速采取行動。

例如，物聯(lián)網(wǎng)設備在遭遇感染時，提前考慮“是否應斷開設備？是否應重啟設備？如果某些設備在執(zhí)行關鍵任務，是否應讓設備在線，直到被替換？”等等問題。

八、讓利益相關者參與計劃階段

維護 IT 安全是首席信息官（CIO）/IT 部門的職責，而物聯(lián)網(wǎng)則涉及業(yè)務、運營、IT 基礎設施、物理安全和其它利益相關者，所有利益相關者均應參與設計物聯(lián)網(wǎng)安全解決方案和協(xié)議。