企業物(wù)聯網安全之8大(dà)策略

近年來，消費(fèi)市場的物(wù)聯網(IoT)設備呈爆炸式增長，預計到2020年全球物(wù)聯網設備的使用量将達到240億台。物(wù)聯網設備不斷增加，隐私和敏感數據丢失等安全問題引發擔憂。智慧城市、企業也會捕獲物(wù)聯網中(zhōng)有價值的數據。攻擊者擅長利用易受攻擊的聯網設備作爲切入點，訪問網絡内的敏感數據。

以色列物(wù)聯網安全公司 SecuriThings 的營銷副總裁尤塔姆·古特曼表示，物(wù)聯網設備的安全性在變得更好之前會越來越糟。

企業面臨的物(wù)聯網安全挑戰

每天都有大(dà)量新的設備聯網，大(dà)規模攻擊将使得個人、企業和監管機構要求物(wù)聯網服務提供商(shāng)提供更具安全性的産品。在這一(yī)過程中(zhōng)，若存在成熟的安全解決方案，這些方案可能規模化以降低威脅。在與企業意識和預算充足的情況下(xià)，企業便能有效降低安全風險。

古特曼表示，企業面臨着諸多物(wù)聯網安全挑戰，其最突出的挑戰是對如何采用安全性策略缺乏意識。IT 人員(yuán)的職責是保護涉及參數的 IT 系統，而物(wù)聯網設備直接與雲對話(huà)，這是一(yī)個截然不同的環境。他擔心，部分(fēn)組織機構會認爲物(wù)聯網安全影響 IoT 設備的運作方式。同樣，企業與安全提供商(shāng)之間的信任有時也存在不确定性。

除此之外(wài)，企業還應要求部署安全機制的服務提供商(shāng)提供可見性解決方案，使其能了解設備内發生(shēng)的情況，以便在其遭受感染時，将其斷網并移除。

以下(xià)爲古特曼給出的保護 IoT 設備的相關建議：

保護企業物(wù)聯網安全之8大(dà)策略

1. 僅在必要時聯網

智能設備的具體(tǐ)安全準則是：不必要對互聯網開(kāi)放(fàng)時，則不聯網。例如，恒溫器在本地可運行時就可以不用連接到互聯網。

2. 将基本的 IT 安全程序應用到物(wù)聯網安全

管理用戶訪問設備、使用強密碼和用戶名的流程，避免使用設備的默認設置和密碼。

3. 勿忽視由第三方托管或安裝的 IoT 設備

企業經常會通過物(wù)聯網服務提供商(shāng)安裝和操作物(wù)聯網設備(例如遠程安全監控)。然而，這些設備可能會導緻隐私洩露和安全事件，因此，企業有必要對這些設備進行監控，即使這些設備在技術上将并不屬于企業(這種情況下(xià)，責任在于物(wù)聯網服務提供商(shāng))。

4. 内部威脅不容忽視

物(wù)聯網也可能會被内部工(gōng)作人員(yuán)利用，以收集敏感數據，因此企業需采用嚴格的訪問管理流程，監控用戶、管理員(yuán)和技術人員(yuán)的行爲。

5. 考慮隐私問題

物(wù)聯網設備可收集極其敏感的信息、錄像、錄音等，因此在部署物(wù)聯網設備時應當考慮隐私和和法律問題。

6.  實時監控

實時監控，随後進行調查和采取補救措施。物(wù)聯網安全解決方案應當允許企業實時識别黑客攻擊嘗試，并對其進行阻止和調查。

7. 制定物(wù)聯網安全事件應急響應計劃

像 IT 安全一(yī)樣，組織機構需要制定物(wù)聯網安全計劃。然而與 IT 安全不同的是，入侵物(wù)聯網設備可能會産生(shēng)現實的影響，因此企業必須制定應急計劃，以便在事件發生(shēng)時迅速采取行動。

例如，物(wù)聯網設備在遭遇感染時，提前考慮“是否應斷開(kāi)設備?是否應重啓設備?如果某些設備在執行關鍵任務，是否應讓設備在線，直到被替換?”等等問題。

8. 讓利益相關者參與計劃階段

維護 IT 安全是首席信息官(CIO)/IT 部門的職責，而物(wù)聯網則涉及業務、運營、IT 基礎設施、物(wù)理安全和其它利益相關者，所有利益相關者均應參與設計物(wù)聯網安全解決方案和協議。