物聯(lián)網(wǎng)為企業(yè)帶來了前所未有的靈活性和功能性。更多的物聯(lián)網(wǎng)設(shè)備有望幫助企業(yè)簡化供應(yīng)鏈運(yùn)作，提高效率，降低現(xiàn)有流程中的成本，提高產(chǎn)品和服務(wù)質(zhì)量，甚至為客戶創(chuàng)造新的產(chǎn)品和服務(wù)。物聯(lián)網(wǎng)將優(yōu)化甚至徹底改革商業(yè)模式，使之變得更好。

物聯(lián)網(wǎng)數(shù)據(jù)的大規(guī)模生成、收集和分析無疑將為企業(yè)提供巨大的利好，但通過不安全的網(wǎng)絡(luò)和易受攻擊的切入點，物聯(lián)網(wǎng)設(shè)備很容易遭受攻擊，這吸引了不少蠢蠢欲動的網(wǎng)絡(luò)罪犯分子。

根據(jù)Gartner的數(shù)據(jù)，近20%的企業(yè)在過去三年中至少受到一次基于物聯(lián)網(wǎng)的攻擊。到2025年，全球聯(lián)網(wǎng)設(shè)備預(yù)計將有750億個，也就是說，網(wǎng)絡(luò)安全漏洞和數(shù)據(jù)泄露的風(fēng)險將在現(xiàn)在的基礎(chǔ)上增加5倍。

因此，隨著我們進(jìn)入一個以物聯(lián)網(wǎng)為主導(dǎo)的新時代，在部署多個連接設(shè)備時，必須重新審視企業(yè)面臨的威脅，并將其納入企業(yè)安全戰(zhàn)略。以下是所有企業(yè)在制定網(wǎng)絡(luò)防御計劃中都應(yīng)考慮到的物聯(lián)網(wǎng)安全漏洞的三個案例——從對看似無利害關(guān)系的產(chǎn)品入侵，到徹頭徹尾的惡意攻擊。

1.即便是最簡單的連接設(shè)備也容易受到攻擊

幾乎所有去拉斯維加斯賭場的人都是贏少輸多，但這通常與網(wǎng)絡(luò)攻擊沒有聯(lián)系，更不用說從魚缸開始的物聯(lián)網(wǎng)攻擊了。然而，這正是拉斯維加斯一家賭場首次遭遇網(wǎng)絡(luò)安全攻擊的原因。

在賭場的浴缸里，用于遠(yuǎn)程監(jiān)控和投喂的連接溫度計為黑客提供了一個完美的訪問點，讓他們可以獲取有關(guān)高級游客的數(shù)據(jù)。黑客總共竊取了10GB的個人數(shù)據(jù)，并將其發(fā)送至芬蘭的一個遠(yuǎn)程服務(wù)器。

物聯(lián)網(wǎng)設(shè)備正越來越多地應(yīng)用于各個領(lǐng)域，正如拉斯維加斯魚缸的事例，即使是最簡單的連接設(shè)備也可能成為通往企業(yè)網(wǎng)絡(luò)或其他私有網(wǎng)段的潛在網(wǎng)關(guān)。鑒于世界上80%的數(shù)據(jù)都保存在私人服務(wù)器上，因此阻止黑客入侵比以往任何時候都更重要。

2.連接設(shè)備的物理保護(hù)和處理很復(fù)雜

有時候，你需要警惕的不是黑客，而是物聯(lián)網(wǎng)設(shè)備本身的運(yùn)作。2018年，網(wǎng)絡(luò)安全博客Limited Results對LIFX迷你白熾燈泡進(jìn)行了黑客攻擊，發(fā)現(xiàn)了智能燈泡自身的漏洞，即任何能夠?qū)嶋H訪問該產(chǎn)品的人都可以提取用戶的Wi-Fi密碼、以及RSA私鑰和root密碼。

LIFX通過固件更新修復(fù)了該漏洞，但它引出了有關(guān)設(shè)備的物理狀態(tài)的重要問題，包括舊的或有缺陷的智能設(shè)備的使用和處理過程中的保護(hù)。隨著企業(yè)業(yè)務(wù)繼續(xù)采用和升級IoT，這個經(jīng)常被遺忘的漏洞必須銘記于心。

3.惡意軟件帶來網(wǎng)絡(luò)物理威脅

世界已經(jīng)習(xí)慣了惡意軟件竊取私人信息，但正如拉斯維加斯魚缸和LIFX的例子那樣，它很少對受害者構(gòu)成身體上的威脅。直到2018年，人們發(fā)現(xiàn)了針對沙特阿拉伯一家煉油廠安全系統(tǒng)的Triton industrial惡意軟件。據(jù)說這是有史以來第一個被設(shè)計用來危害工業(yè)安全系統(tǒng)的惡意軟件，通過該軟件，黑客能夠禁用傳感器，嚴(yán)重的話會有致命的災(zāi)難發(fā)生。黑客們采取措施，慢慢滲透進(jìn)越來越多的系統(tǒng)，并開發(fā)出更精確的惡意軟件。

幸運(yùn)的是，在更多的攻擊被執(zhí)行之前，這個實例就被發(fā)現(xiàn)了，但這并不能阻止黑客開發(fā)出更危險的惡意軟件。因此，隨著工業(yè)控制系統(tǒng)日益連接并依賴于物聯(lián)網(wǎng)設(shè)備，企業(yè)必須采取措施為這些設(shè)施建立安全保障。

合規(guī)管理的難題

即使物聯(lián)網(wǎng)沒有廣泛應(yīng)用，許多企業(yè)也面臨著創(chuàng)新的挑戰(zhàn)，這些創(chuàng)新可能為數(shù)據(jù)保護(hù)打開潛在的漏洞。在過去的幾個月里，英國航空公司（British Airways）、萬豪酒店（Marriott Hotels）和多家地方政府機(jī)構(gòu)因意外泄露大量個人數(shù)據(jù)，根據(jù)歐盟（eu）《一般數(shù)據(jù)保護(hù)條例》（General Data ProtecTIon RegulaTIons，簡稱GDPR）被處以巨額罰款。事實上，僅萬豪酒店的數(shù)據(jù)泄露就暴露了700萬條與英國居民有關(guān)的記錄。

這些巨額罰款表明，歐盟委員會（EC）內(nèi)部的監(jiān)管機(jī)構(gòu)是很積極地解決安全和合規(guī)問題，以確保個人數(shù)據(jù)保持私密。即將出臺的新的基于英國的物聯(lián)網(wǎng)安全法律將要求設(shè)備制造商對連接設(shè)備本身內(nèi)易受攻擊的切入點負(fù)責(zé)。然而，企業(yè)還需要對自身IT架構(gòu)中的弱點——安全性和遵從性，承擔(dān)更多的責(zé)任。

解決方案是什么？

物聯(lián)網(wǎng)尚處于雛形狀態(tài)，在可預(yù)見的未來，它很可能會成為黑客的一個很具吸引力的目標(biāo)。隨著越來越多的技術(shù)出現(xiàn)，IT環(huán)境變得越來越復(fù)雜，物聯(lián)網(wǎng)的攻擊面將會迅速增加。企業(yè)必須采取正確的預(yù)防措施，防止黑客攻擊對物聯(lián)網(wǎng)項目造成嚴(yán)重破壞。

加強(qiáng)網(wǎng)絡(luò)安全的一種方法是在安全環(huán)境中使用機(jī)器學(xué)習(xí)（ML）和人工智能（AI）等先進(jìn)分析技術(shù)處理物聯(lián)網(wǎng)數(shù)據(jù)。通過采用先進(jìn)的分析技術(shù)，可以監(jiān)測所有連接設(shè)備的運(yùn)作和異常，從而識別關(guān)鍵的安全事件或誤操作。更重要的是，通過采用BlockChain，企業(yè)可以消除物聯(lián)網(wǎng)中對數(shù)據(jù)中心的需求。這意味著，如果管理員被要求執(zhí)行一項不尋常的任務(wù)，網(wǎng)絡(luò)中的任一連接設(shè)備都可以提醒管理員。

企業(yè)在支持物聯(lián)網(wǎng)環(huán)境時，也必須考慮到他們的合作伙伴——專業(yè)的網(wǎng)絡(luò)安全機(jī)構(gòu)，其運(yùn)營的用于實時應(yīng)對網(wǎng)絡(luò)攻擊的先進(jìn)安全防御中心，可以為企業(yè)提供一站式服務(wù)，滿足它們的網(wǎng)絡(luò)安全、合規(guī)和新興技術(shù)需求。

這樣的網(wǎng)絡(luò)安全中心應(yīng)該是由一系列復(fù)雜的工具和平臺提供動力，包括日志和行為分析、網(wǎng)絡(luò)威脅情報、基于云的安全框架、由機(jī)器學(xué)習(xí)驅(qū)動的高級攻擊預(yù)測平臺，并集成到一個自動化和編排平臺中。

因此，這些中心可以為企業(yè)提供一個全面的安全儀表板，可鳥瞰I(xiàn)T和物聯(lián)網(wǎng)網(wǎng)絡(luò)及其安全性。從成本和技能的角度來看，這樣的中心很難建立和維護(hù)，因此企業(yè)可以利用專家合作伙伴的深厚專業(yè)知識來加強(qiáng)他們的系統(tǒng)和數(shù)據(jù)保護(hù)態(tài)勢，并應(yīng)對日新月異的法規(guī)。

只有采用整體方法來解決物聯(lián)網(wǎng)安全問題——采用基于云的普適控制，并通過新興技術(shù)進(jìn)行擴(kuò)展可見性和保護(hù)，才能確保企業(yè)端到端受到保護(hù)，并始終遵守數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)。

總之，沒有必要害怕物聯(lián)網(wǎng)。有了正確的保障措施，它就可以履行其承諾，并改進(jìn)它要提供的流程和服務(wù)。