如何预防企业物联网安全问题？终极清单

降低风险并保护您的工业设备、客户和工厂

工业企业（例如工厂和工厂）需要了解不同的物联网安全威胁，并实施多层次的网络安全策略来保护其业务和运营。本文将详细介绍连接设备的风险，并描述将解决您的物联网安全挑战的主要解决方案——现在和未来。

[[获取您的物联网安全检查清单]]

什么是物联网安全？

物联网安全涉及物联网 (IoT) 中连接设备及其网络的安全，并保护它们免受任何潜在的安全威胁。工业物联网涉及向系统、计算设备以及机械和数字机器添加互联网连接。每天都会发现新的黑客攻击和安全漏洞，这使得确保设备安全成为一个持续的过程。这意味着您选择的物联网安全解决方案必须是强大的，并且必须包含保持连接系统持续安全的功能。

互联工业物联网设备的风险

没有物联网产品的安全和隐私计划可能会产生重大影响。缺乏对物联网设备/系统的充分监控以检测安全漏洞，这为黑客创造了一个更容易的目标。风险在于，曾经在其自身安全环境中运行的关键软件现在已链接到更广泛的网络。 IIoT 网络以前是用于运营技术的独立网络，但现在有一个设备将这个专用网络连接到公司 IT 网络的其余部分——这可能会造成严重危害，因为机密的关键业务数据触手可及。

黑客已经通过利用连接互联网的传感器并获得对物理网络的访问权限，将恶意软件部署到工业网络。因此，当您开始将物联网设备连接到互联网时，潜在的 IIoT 网络攻击应该是首要考虑因素。

我们创建此清单是为了确保您考虑到物联网安全的各个方面，并准备好一切以防止此类问题的发生。

工业物联网安全

工业物联网安全清单，以防止出现问题和违规

机器工程师和他们的客户应该一起讨论物联网的风险，以防止潜在的攻击，并采取行动确保他们系统的持续安全。此清单列出了您应该涵盖的各种安全领域，有助于最大限度地减少物联网的安全威胁，并提供可能的解决方案和措施来维护工厂或运营的安全。

防火墙 - 限制您的表面积

网络安全专家所做的大部分工作是将系统发生不良事件的风险降至最低。最简单的方法是限制黑客可能利用的事物和位置的数量。把你的物联网环境想象成一个银行金库，在那里你存储你最宝贵的货币——在这种情况下，知识产权、机器和客户数据等。如果你的金库只有一个单人守卫的入口。

这就是防火墙的用武之地。防火墙是简单的应用程序，它根据源 IP（它来自哪里？）、目标端口（它要去哪里？）或数据包内容（正在发送什么？）来过滤互联网流量。花一些额外的时间来配置它可以为您节省更多的麻烦。理想情况下，您只想将基本应用程序（即端口）公开给那些预期的来源，以及预期的流量。

因此，问问自己应该向糟糕的互联网开放哪些端口，以及谁应该能够访问这些端口。运行 SSH 的端口可能只能从您的公司总部访问，或者运行数据库的端口只能从服务器本身（即“本地主机”）访问。

详细了解为什么您应该关注工厂的传入连接。

加密——ƐnℂrŶpŤ

加密是使用一对非常长的数字将可读消息转换为（看似）随机乱码的数学过程。它的目的是掩盖任何信息不被窥探，它被用来防止所谓的使用 TLS 的中间人攻击。加密后，您可以确保您的机密信息只能由您和目标收件人阅读。

但是，并非所有加密都是一样的。有许多方法（也称为算法）来加密消息，其中一些方法具有已知的漏洞，因此是不安全的。当涉及到 TLS 配置时，请始终检查 SSL Labs 或 Mozilla wiki 等信誉良好的来源，以确定最新的行业标准。

数据丢失 – 备份

首先，你需要备份！

没有备份只是确保您在出现任何问题时被搞砸。

但仅仅有备份是不够的。您需要有“适当的”备份。适当是一个主观术语，意思是不同的人对这个词有不同的定义。那么什么才是“正确的”备份呢？无论如何，你需要问自己以下问题，并得到满意的答案：

• 我需要存储哪些数据才能重新创建我们的整个 IoT 环境？
• 我需要多久创建一次备份？ （即我认为可以接受多长时间的数据差距？）
• 在丢弃备份之前，我可以保留备份多长时间？
• 如何测试备份中的数据是否正确？
• 如何保证备份的安全？

定期查看这些问题，并反思您对答案是否仍然满意，如果不满意，请进行必要的更改。

阅读有关数据丢失预防的更多信息。

软件漏洞 – 更新、更新、更新

大多数情况下，操作系统 (OS) 和软件应用程序的漏洞在公众知晓之前就已为开发人员所知，并且由于他们的 PR 上线，他们会尽快发送补丁。每月只花一个小时查看您使用的所有软件的更新是值得的，因为它可以让您始终运行最新的安全补丁。同样，大多数主要操作系统都有机制来确保与安全相关的更新一可用就自动安装。

人——教育他们

正如大多数研究和调查发现的那样，人（即员工、同事）通常仍然是网络安全链中的薄弱环节。维护安全是一项集体努力，任何不努力的人都可能导致整个事情崩溃。因此，让您组织中的每个人都知道这一点至关重要

• “强”密码是什么样的，
• 如何识别网络钓鱼电子邮件，
• 为什么双因素身份验证更好
• 等

在这个过程中，很容易忽略精通 IT 的人，因为您假设“他们更了解”。但错误很容易犯，你永远不知道一个人不知道什么。

特别是对于 IT，请确保他们采用最小权限原则（以减少您的“表面积”），而不会冒单点故障的风险。赛博神享受因果报应，并始终确保事情破裂，就像一个负责人不可用一样。

详细了解强密码和网络安全的力量。

最小特权原则意味着仅授予用户有限的访问权限，使其只能访问他们完成工作所必须拥有的权限

IXON 的 Dylan Eikelenboom 安全官

监控——大哥在看

在云中意味着一切始终在线，每个人都可以使用。从网络安全的角度来看，这显然是最坏的情况。解决此问题的唯一方法是确保您尽可能多地了解服务器中和服务器上发生的情况。这意味着监控进程、网络流量、正在执行的命令等等。

这里的陷阱是，在没有根据（即一个很好的理由）的情况下监控事物只会导致数据被倾倒在比喻性的数据山上。您必须确保您所监控的一切都在确定您的系统的健康状况方面发挥作用。

漏洞测试——了解你的弱点

维护网络安全是一个主动动词，这意味着它需要持续的承诺。你不能建立一个技术上健全的系统，只是忽略它几年并假设它会保持安全。因此，了解您的系统何时、何地以及如何容易受到攻击至关重要。

建议最常见的渗透测试，在这种测试中，一群白帽黑客可以自由尝试（合乎道德地）利用您的系统并报告结果。这不仅可以发现您的缺陷，还可以从网络安全的角度评估您的系统的“成熟度”。但是，最大的缺点是这可能非常昂贵。

幸运的是，对于那些负担不起在成熟的渗透测试上花费数千 {插入货币} 的人来说，有一些替代方案可以以很小的成本提供一些好处。自动化的内部和外部漏洞测试可从多方获得，价格从每台服务器每月免费到几美元不等。这些服务运行一整套测试，以查看服务器是否容易受到常见漏洞的影响，并在易于阅读的报告中收集所有内容。您甚至可以在修复漏洞后或在部署重大架构更改后重复测试，以查看您的系统是否仍然安全。

阅读有关保护 IoT 设备的更多信息。

访问权限——明智地选择

就像会计行业的 Karen 可以通过单击那个粗略的电子邮件附件来解决问题一样，您也需要警惕您将数据提供给谁。托管现代物联网平台意味着从许多不同的供应商那里请求服务；托管服务提供商、电子邮件服务器、监控工具、编程库等。

您可以拥有人类已知的最好的网络安全套件，具有完美的实时监控、坚固的防火墙和可以在睡梦中引用 Bruce Schneier（著名安全技术专家）所有书籍的员工——但他们系统中的网络安全缺陷最终会回到困扰着你 .您应该始终为您雇用的每个服务提供商要求适当的网络安全实践。

冗余——确保可用性

注意：以上大部分建议主要与您系统中数据的机密性和完整性有关。如果物联网环境的可用性（或“正常运行时间”）特别重要，还可以考虑通过高可用性或自动故障转移使您的系统冗余。

获取免费的物联网安全检查清单

为帮助您保护企业和 IoT 应用程序，我们在此清单中列出了所有主题。在这里下载！

[[下载物联网安全清单]]

其他资源

• 在我们的安全白皮书中了解 IXON 如何保护工业网络、设备和机器数据。
• 信息图：将物联网威胁降至最低的 9 个安全领域
• 相关网络安全主题
• 如有其他问题，请联系我们的一位安全专家