物聯(lián)網(wǎng)為企業(yè)帶來了前所未有的靈活性和功能性。更多的物聯(lián)網(wǎng)設備有望幫助企業(yè)簡化供應鏈運作，提高效率，降低現(xiàn)有流程中的成本，提高產(chǎn)品和服務質(zhì)量，甚至為客戶創(chuàng)造新的產(chǎn)品和服務。物聯(lián)網(wǎng)將優(yōu)化甚至徹底改革商業(yè)模式，使之變得更好。

物聯(lián)網(wǎng)數(shù)據(jù)的大規(guī)模生成、收集和分析無疑將為企業(yè)提供巨大的利好，但通過不安全的網(wǎng)絡和易受攻擊的切入點，物聯(lián)網(wǎng)設備很容易遭受攻擊，這吸引了不少蠢蠢欲動的網(wǎng)絡罪犯分子。

根據(jù)Gartner的數(shù)據(jù)，近20%的企業(yè)在過去三年中至少受到一次基于物聯(lián)網(wǎng)的攻擊。到2025年，全球聯(lián)網(wǎng)設備預計將有750億個，也就是說，網(wǎng)絡安全漏洞和數(shù)據(jù)泄露的風險將在現(xiàn)在的基礎上增加5倍。

因此，隨著我們進入一個以物聯(lián)網(wǎng)為主導的新時代，在部署多個連接設備時，必須重新審視企業(yè)面臨的威脅，并將其納入企業(yè)安全戰(zhàn)略。以下是所有企業(yè)在制定網(wǎng)絡防御計劃中都應考慮到的物聯(lián)網(wǎng)安全漏洞的三個案例——從對看似無利害關系的產(chǎn)品入侵，到徹頭徹尾的惡意攻擊。

1、最簡單的連接設備也容易受到攻擊

幾乎所有去拉斯維加斯賭場的人都是贏少輸多，但這通常與網(wǎng)絡攻擊沒有聯(lián)系，更不用說從魚缸開始的物聯(lián)網(wǎng)攻擊了。然而，這正是拉斯維加斯一家賭場首次遭遇網(wǎng)絡安全攻擊的原因。

在賭場的浴缸里，用于遠程監(jiān)控和投喂的連接溫度計為黑客提供了一個完美的訪問點，讓他們可以獲取有關高級游客的數(shù)據(jù)。黑客總共竊取了10GB的個人數(shù)據(jù)，并將其發(fā)送至芬蘭的一個遠程服務器。

物聯(lián)網(wǎng)設備正越來越多地應用于各個領域，正如拉斯維加斯魚缸的事例，即使是最簡單的連接設備也可能成為通往企業(yè)網(wǎng)絡或其他私有網(wǎng)段的潛在網(wǎng)關。鑒于世界上80%的數(shù)據(jù)都保存在私人服務器上，因此阻止黑客入侵比以往任何時候都更重要。

2、連接設備的物理保護和處理很復雜

有時候，你需要警惕的不是黑客，而是物聯(lián)網(wǎng)設備本身的運作。2018年，網(wǎng)絡安全博客LimitedResults對LIFX迷你白熾燈泡進行了黑客攻擊，發(fā)現(xiàn)了智能燈泡自身的漏洞，即任何能夠?qū)嶋H訪問該產(chǎn)品的人都可以提取用戶的Wi-Fi密碼、以及RSA私鑰和root密碼。

LIFX通過固件更新修復了該漏洞，但它引出了有關設備的物理狀態(tài)的重要問題，包括舊的或有缺陷的智能設備的使用和處理過程中的保護。隨著企業(yè)業(yè)務繼續(xù)采用和升級IoT，這個經(jīng)常被遺忘的漏洞必須銘記于心。

3、惡意軟件帶來網(wǎng)絡物理威脅

世界已經(jīng)習慣了惡意軟件竊取私人信息，但正如拉斯維加斯魚缸和LIFX的例子那樣，它很少對受害者構成身體上的威脅。直到2018年，人們發(fā)現(xiàn)了針對沙特阿拉伯一家煉油廠安全系統(tǒng)的Tritonindustrial惡意軟件。據(jù)說這是有史以來第一個被設計用來危害工業(yè)安全系統(tǒng)的惡意軟件，通過該軟件，黑客能夠禁用傳感器，嚴重的話會有致命的災難發(fā)生。黑客們采取措施，慢慢滲透進越來越多的系統(tǒng)，并開發(fā)出更精確的惡意軟件。

幸運的是，在更多的攻擊被執(zhí)行之前，這個實例就被發(fā)現(xiàn)了，但這并不能阻止黑客開發(fā)出更危險的惡意軟件。因此，隨著工業(yè)控制系統(tǒng)日益連接并依賴于物聯(lián)網(wǎng)設備，企業(yè)必須采取措施為這些設施建立安全保障。

合規(guī)合理的難題

即使物聯(lián)網(wǎng)沒有廣泛應用，許多企業(yè)也面臨著創(chuàng)新的挑戰(zhàn)，這些創(chuàng)新可能為數(shù)據(jù)保護打開潛在的漏洞。在過去的幾個月里，英國航空公司(BritishAirways)、萬豪酒店(MarriottHotels)和多家地方政府機構因意外泄露大量個人數(shù)據(jù)，根據(jù)歐盟(eu)《一般數(shù)據(jù)保護條例》(GeneralDataProtectionRegulations，簡稱GDPR)被處以巨額罰款。事實上，僅萬豪酒店的數(shù)據(jù)泄露就暴露了700萬條與英國居民有關的記錄。

這些巨額罰款表明，歐盟委員會(EC)內(nèi)部的監(jiān)管機構是很積極地解決安全和合規(guī)問題，以確保個人數(shù)據(jù)保持私密。即將出臺的新的基于英國的物聯(lián)網(wǎng)安全法律將要求設備制造商對連接設備本身內(nèi)易受攻擊的切入點負責。然而，企業(yè)還需要對自身IT架構中的弱點——安全性和遵從性，承擔更多的責任。

解決方案是什么？

物聯(lián)網(wǎng)尚處于雛形狀態(tài)，在可預見的未來，它很可能會成為黑客的一個極具吸引力的目標。隨著越來越多的技術出現(xiàn)，IT環(huán)境變得越來越復雜，物聯(lián)網(wǎng)的攻擊面將會迅速增加。企業(yè)必須采取正確的預防措施，防止黑客攻擊對物聯(lián)網(wǎng)項目造成嚴重破壞。

加強網(wǎng)絡安全的一種方法是在安全環(huán)境中使用機器學習(ML)和人工智能(AI)等先進分析技術處理物聯(lián)網(wǎng)數(shù)據(jù)。通過采用先進的分析技術，可以監(jiān)測所有連接設備的運作和異常，從而識別關鍵的安全事件或誤操作。更重要的是，通過采用BlockChain，企業(yè)可以消除物聯(lián)網(wǎng)中對數(shù)據(jù)中心的需求。這意味著，如果管理員被要求執(zhí)行一項不尋常的任務，網(wǎng)絡中的任一連接設備都可以提醒管理員。

企業(yè)在支持物聯(lián)網(wǎng)環(huán)境時，也必須考慮到他們的合作伙伴——專業(yè)的網(wǎng)絡安全機構，其運營的用于實時應對網(wǎng)絡攻擊的先進安全防御中心，可以為企業(yè)提供一站式服務，滿足它們的網(wǎng)絡安全、合規(guī)和新興技術需求。

這樣的網(wǎng)絡安全中心應該是由一系列復雜的工具和平臺提供動力，包括日志和行為分析、網(wǎng)絡威脅情報、基于云的安全框架、由機器學習驅(qū)動的高級攻擊預測平臺，并集成到一個自動化和編排平臺中。

因此，這些中心可以為企業(yè)提供一個全面的安全儀表板，可鳥瞰IT和物聯(lián)網(wǎng)網(wǎng)絡及其安全性。從成本和技能的角度來看，這樣的中心很難建立和維護，因此企業(yè)可以利用專家合作伙伴的深厚專業(yè)知識來加強他們的系統(tǒng)和數(shù)據(jù)保護態(tài)勢，并應對日新月異的法規(guī)。

只有采用整體方法來解決物聯(lián)網(wǎng)安全問題——采用基于云的普適控制，并通過新興技術進行擴展可見性和保護，才能確保企業(yè)端到端受到保護，并始終遵守數(shù)據(jù)保護標準。

總之，沒有必要害怕物聯(lián)網(wǎng)。有了正確的保障措施，它就可以履行其承諾，并改進它要提供的流程和服務。