應(yīng)對物聯(lián)網(wǎng)安全挑戰(zhàn)需要一種雙管齊下的方法。它必須從受保護(hù)產(chǎn)品的角度（通過運(yùn)行軟件的安全代碼）和這些設(shè)備上的固件來為應(yīng)對網(wǎng)絡(luò)攻擊做好準(zhǔn)備。物聯(lián)網(wǎng)安全策略還必須具有檢測和響應(yīng)能力，以防止網(wǎng)絡(luò)攻擊者利用漏洞進(jìn)行的攻擊。

隨著物聯(lián)網(wǎng)設(shè)備風(fēng)險(xiǎn)的增加，企業(yè)必須通過培訓(xùn)、滲透測試和設(shè)備維護(hù)計(jì)劃來評估和加強(qiáng)其產(chǎn)品保護(hù)。

物聯(lián)網(wǎng)設(shè)備具有固有的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，這已經(jīng)不是什么秘密。物聯(lián)網(wǎng)為惡意攻擊者發(fā)動(dòng)網(wǎng)絡(luò)攻擊和入侵聯(lián)網(wǎng)設(shè)備打開了大門;網(wǎng)絡(luò)攻擊者通過DDoS攻擊破壞基礎(chǔ)設(shè)施并入侵網(wǎng)絡(luò);并可能獲得對私人或敏感信息的訪問權(quán)限。運(yùn)行物聯(lián)網(wǎng)設(shè)備的許多嵌入式固件不安全且極易受到攻擊，從而使關(guān)鍵系統(tǒng)面臨風(fēng)險(xiǎn)。

隨著物聯(lián)網(wǎng)設(shè)備的激增，風(fēng)險(xiǎn)也在增加。根據(jù)調(diào)研機(jī)構(gòu)Gartner公司的預(yù)測，到2021年底，全球物聯(lián)網(wǎng)設(shè)備的采用數(shù)量預(yù)計(jì)將達(dá)到250億臺。根據(jù)麥肯錫公司的調(diào)查，每秒將有127個(gè)新的物聯(lián)網(wǎng)設(shè)備連接到互聯(lián)網(wǎng)，這些設(shè)備上潛在的可利用漏洞助長了不斷增長的攻擊面。

應(yīng)對物聯(lián)網(wǎng)安全挑戰(zhàn)需要一種雙管齊下的方法。它必須從受保護(hù)產(chǎn)品的角度(通過運(yùn)行軟件的安全代碼)和這些設(shè)備上的固件來為應(yīng)對網(wǎng)絡(luò)攻擊做好準(zhǔn)備。物聯(lián)網(wǎng)安全策略還必須具有檢測和響應(yīng)能力，以防止網(wǎng)絡(luò)攻擊者利用漏洞進(jìn)行的攻擊。

預(yù)測設(shè)備安全性改進(jìn)

雖然物聯(lián)網(wǎng)的采用率持續(xù)增長，但圍繞物聯(lián)網(wǎng)的標(biāo)準(zhǔn)、合規(guī)性要求和安全編碼實(shí)踐并沒有以同樣的速度發(fā)展。最近備受關(guān)注的軟件供應(yīng)鏈攻擊使安全編碼問題成為焦點(diǎn)，促使各國政府發(fā)布命令，要求政府部門和企業(yè)購買和部署安全軟件。這一關(guān)鍵性的轉(zhuǎn)變將對全球軟件開發(fā)過程和生命周期產(chǎn)生直接影響，特別是考慮到采購的巨大范圍時(shí)。幾乎所有設(shè)備制造商和軟件公司都將受到直接影響，因?yàn)檎块T開始要求私營部門履行義務(wù)，并在各行業(yè)領(lǐng)域建立新的安全標(biāo)準(zhǔn)。

針對物聯(lián)網(wǎng)，這些命令指示政府部門啟動(dòng)試點(diǎn)計(jì)劃，以提高物聯(lián)網(wǎng)設(shè)備的安全能力，并確定物聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和消費(fèi)者標(biāo)簽計(jì)劃的安全軟件開發(fā)實(shí)踐。也許這正是私營部門需要調(diào)整其做法以符合這些標(biāo)準(zhǔn)的驅(qū)動(dòng)力。根據(jù)Bitdefender公司的估計(jì)，在該公司通知的具有軟件漏洞證據(jù)的物聯(lián)網(wǎng)設(shè)備制造商中，只有不到30%的制造商做出了回應(yīng)或承認(rèn)了這些缺陷。此外，雖然大多數(shù)制造商最終會(huì)解決問題，但他們的反應(yīng)相對緩慢。

由于政府機(jī)構(gòu)積極與行業(yè)領(lǐng)袖進(jìn)行協(xié)商，以解決有關(guān)命令實(shí)施的確切時(shí)間以及各種基礎(chǔ)設(shè)施和制造商需要遵守的規(guī)模的問題，制造商現(xiàn)在可以采取以下一些措施做好準(zhǔn)備：

強(qiáng)制要求軟件開發(fā)人員接受安全編碼培訓(xùn)。

通過社區(qū)征集和共享有關(guān)常見物聯(lián)網(wǎng)漏洞的信息。

通過檢查網(wǎng)絡(luò)安全社區(qū)來研究最常見的陷阱。

使用自動(dòng)化工具進(jìn)行代碼分析，確保在未預(yù)先掃描潛在漏洞的情況下，任何內(nèi)容都不會(huì)泄露。

使用滲透測試團(tuán)隊(duì)查找開發(fā)周期中遺漏的任何內(nèi)容，但要審查第三方滲透測試提供商。

假設(shè)一切都有缺陷

在理想情況下，對于物聯(lián)網(wǎng)設(shè)備的用戶來說，其購買的產(chǎn)品符合標(biāo)準(zhǔn)和要求，但要認(rèn)識到需要對設(shè)備進(jìn)行滲透測試。

如今，沒有哪一個(gè)系統(tǒng)不會(huì)受到損害，無論是在什么運(yùn)營環(huán)境中。因此利用滲透測試找到這些漏洞是很重要的。

一旦物聯(lián)網(wǎng)設(shè)備通過安全認(rèn)證并部署在企業(yè)的基礎(chǔ)設(shè)施中，務(wù)必使用擴(kuò)展檢測和響應(yīng)、端點(diǎn)檢測和響應(yīng)或其他安全運(yùn)營中心解決方案進(jìn)行監(jiān)控。這樣即使被攻擊，也會(huì)擁有所需的可見性，以確定設(shè)備是否正在執(zhí)行有關(guān)訪問、查詢、時(shí)間和IP地址的可疑行為方面不應(yīng)該做的事情。此外，這些檢測和響應(yīng)功能提供了物聯(lián)網(wǎng)設(shè)備應(yīng)該如何操作的信息，使異常行為更容易被發(fā)現(xiàn)，同時(shí)還確保在這些設(shè)備受到網(wǎng)絡(luò)攻擊時(shí)提供保護(hù)。

準(zhǔn)備防御措施

物聯(lián)網(wǎng)設(shè)備在消費(fèi)者與工業(yè)或商業(yè)環(huán)境中的使用壽命差異很大。根據(jù)調(diào)查，物聯(lián)網(wǎng)設(shè)備在消費(fèi)者環(huán)境中的平均使用壽命為3至5年，在商業(yè)環(huán)境中的平均使用壽命為7至10年。現(xiàn)實(shí)情況是，其中只有一小部分是具有受控更新機(jī)制的智能設(shè)備，因此預(yù)計(jì)任何內(nèi)置保護(hù)措施可能將在兩年內(nèi)過時(shí)。

即使產(chǎn)品開發(fā)生命周期中的標(biāo)準(zhǔn)尚未實(shí)施，也要假設(shè)其環(huán)境中的一切以及為保護(hù)它所做的一切都是有缺陷的。所以很重要的一點(diǎn)是，需要了解這些設(shè)備遭到破壞時(shí)會(huì)發(fā)生什么，以及會(huì)產(chǎn)生什么影響。雖然需要預(yù)測它是如何發(fā)生的，但更重要的是關(guān)注它是否發(fā)生。

面臨這些風(fēng)險(xiǎn)，準(zhǔn)備好防御措施是很重要的：

首先，對物聯(lián)網(wǎng)設(shè)備進(jìn)行優(yōu)先排序和隔離。隔離網(wǎng)絡(luò)上的設(shè)備將在發(fā)生網(wǎng)絡(luò)攻擊時(shí)最大限度地減少任何損害，并允許快速隔離。利用端點(diǎn)檢測和響應(yīng)技術(shù)或與提供端點(diǎn)檢測和響應(yīng)的服務(wù)提供商合作，仍然是在用戶或設(shè)備級別識別和補(bǔ)救潛在威脅的關(guān)鍵。

制定解決設(shè)備維護(hù)問題的短期、中期和長期計(jì)劃。了解哪些設(shè)備(例如交換機(jī)和路由器)必須安裝最新的操作系統(tǒng)或軟件。了解更新到達(dá)設(shè)備有多容易或有多困難，如果存在漏洞，供應(yīng)商修復(fù)和發(fā)布軟件更新的速度有多快。

確定供應(yīng)鏈攻擊的緩解措施。不僅要考慮這些設(shè)備的生產(chǎn)鏈，還要考慮該設(shè)備的環(huán)境和生態(tài)系統(tǒng)，尤其是在服務(wù)提供商級別。

在評估企業(yè)中物聯(lián)網(wǎng)設(shè)備的安全性時(shí)，準(zhǔn)備工作仍然是關(guān)鍵。通過了解如何確保安全的產(chǎn)品保護(hù)和利用滲透測試以及端點(diǎn)和網(wǎng)絡(luò)防御準(zhǔn)備措施，企業(yè)能夠更好地解決物聯(lián)網(wǎng)的安全問題。

責(zé)任編輯：haq