物联网安全：如何在最小化风险的同时推动数字化转型

在短短几年内，物联网 (IoT) 彻底改变了我们的生活和工作方式。从我们手腕上和家中的小工具到我们工作生活所在的互联建筑和智能工厂，它让我们更安全、更快乐、更高效，同时为组织提供了新的增长机会。这项技术是数字化转型革命的先锋，这场革命已经渗透到绝大多数企业，帮助它们提高效率、敏捷性和以客户为中心。

然而，数字化扩张也意味着更大的数字化风险：最新数据显示物联网攻击同比增长 100%。因此，IT 团队的关键是通过适应新互联时代的最佳实践安全来支持业务增长，同时最大限度地减少这些网络风险。

数字化

物联网在相对较短的时间内取得了长足的进步。 Gartner 预测，2019 年将有 142 亿台联网设备投入使用，到 2021 年总数将达到 250 亿台。随着设备数量的激增，数据也将出现爆炸式增长。思科估计，到 2020 年，所有设备产生的数据总量将达到每年 600Zettabyte，而 2015 年仅为 145Zettabyte。这是一个巨大的数据量——单个 Zettabyte 相当于 10 亿 TB。

为什么物联网在过去几年开始如此全面地渗透到商业环境中？ Forbes Insights 对 2018 年 700 名高管的调查有助于解释。它发现 60% 的公司正在扩展或改造新的业务线，类似的数字 (63%) 正在向客户提供新的/更新的服务，超过三分之一 (36%) 正在考虑新的业务风险。在未来 12 个月中，几乎所有 (94%) 的受访者都预测，得益于物联网，利润将增长 5-15%。

物联网传感器、收集的数据并发送到云端进行分析，提供了重要的新机会，以增强客户体验，简化复杂的业务流程，并通过揭示的洞察力创建新服务。这可能包括监测漏水或停电预警信号的公用事业公司、提高工厂车间运营效率的制造公司，以及基于预测性维护为客户提供新售后服务的硬件制造商。

风险无处不在

任何公司加大对物联网和工业物联网 (IIoT) 系统的使用所面临的挑战是，它会在此过程中扩大企业攻击面。快速浏览 OWASP 的物联网攻击面 文档说明了引入了多少新的可能的弱点。这些范围从设备本身（包括固件、内存和物理/网络接口）到后端 API、连接的云系统、网络流量、更新机制和移动应用。

此类系统的最大风险之一是它们是由对 IT 安全最佳实践没有充分了解的制造商生产的。这可能导致严重的系统弱点和漏洞，攻击者可以利用这些漏洞，从软件缺陷到出厂默认登录的产品。这也可能意味着产品难以更新和/或没有适当的程序来发布安全补丁。

此类缺陷可在多种攻击场景中被利用。作为数据窃取突袭的一部分，它们可用于破坏公司网络，或破坏关键操作流程——要么从受害组织勒索金钱，要么只是造成最大程度的破坏。在更常见的情况下，黑客可以扫描互联网以查找仍然仅受出厂默认密码或易于猜测/破解的密码保护的面向公众的设备，并将它们招募到僵尸网络中。这是臭名昭著的 Mirai 攻击者使用的模型，随后在许多其他模仿攻击中进行了改编。这些僵尸网络可用于各种任务，包括分布式拒绝服务 (DDoS)、广告欺诈和传播银行木马。

在黑暗中

IT 安全团队的困难通常是获得组织中所有 IoT 端点的可见性，并且检测到的一些 IoT 设备通常可以在 IT 部门不知情的情况下运行。这种影子 IT 因素在很多方面都是企业 BYOD 挑战的继任者——除了移动电话之外，用户带来的是智能可穿戴设备和其他设备，然后连接到公司网络，从而增加了网络风险。例如，假设攻击者劫持了一台智能电视来监视董事会会议，或者员工食堂中的智能水壶用作滩头阵地，对公司网络发起数据窃取突袭。

对 IT 安全主管来说更糟糕的是，他们必须用更少的熟练专业人员来管理这种不断增长的网络风险。事实上，根据一个招聘团队的数据，2018 年第四季度对物联网职位的需求比前三个月猛增了 49%。

监管机构迎头赶上

任何与物联网相关的重大网络威胁的影响都可能是严重的。数据丢失、IT 系统中断、运营中断等可能导致财务和声誉受损。单独调查和补救安全漏洞的成本可能令人望而却步。严重的中断可能需要将大量资金投入到 IT 员工的加班费上。监管罚款是另一个需要牢记的越来越重要的成本。不仅 GDPR 需要考虑影响客户或员工个人数据的任何问题，欧盟的 NIS 指令还规定了在特定关键行业运营的公司的最佳实践安全性。两者的最高罚款额相同。

这种监管监督正在侵蚀大西洋两岸。美国一项新的拟议立法将要求美国国家标准与技术研究院 (NIST) 为物联网制造商制定最低安全指南，并要求联邦机构仅从符合这些基准标准的供应商处采购。

可见性和控制

如果获得通过，这项美国立法很可能建立在欧洲 ETSI TS 103 645 标准的基础上，该标准本身基于英国政府提议的行业行为准则。这无疑是一个良好的开端，有望推动行业提高安全意识，同时让消费者和企业能够在市场上寻找更安全的产品。但实际上，这些步骤需要一段时间才能渗透到市场中，即便如此，组织可能已经在运行数以千计的不安全的旧物联网端点。

IT 安全团队必须立即采取行动，深入了解其 IoT 环境。 IT 资产管理工具应该能够通过提供最重要的第一步：可见性来提供帮助。接下来，通过自动补丁管理工具确保设备固件是最新的，并监控此过程以确保其正常工作——一些安全更新隐藏在供应商网站的深处，需要人工干预以确保这些更新已启用.此外，IT 团队必须检查所有用户名/密码是否立即更改为强大且唯一的凭据。更好的是，用多因素身份验证替换它们。其他最佳实践可能包括传输中的数据加密、持续网络监控、身份管理、网络分段等。最后，不要忘记网络安全的人员方面：应该教会员工了解与物联网相关的安全风险，以及如何安全地使用系统和设备。

这是从任何物联网计划中获得最大价值的方式，而不会使企业面临不必要的额外风险。只需一次严重的安全漏洞，即可破坏对现代数字业务的成功至关重要的创新驱动型增长。