张如旭

5 IResearch的研究表明，有55%的IT专业人员将物联网安全列为重中之重，而且这一数字可能还会增长。那么，如何做才能保护物联网设备呢？

显然，物联网安全比以往任何时候都重要——但不幸的是，物联网安全也比以往任何时候都更具挑战性。

一些背景：2019新型冠状病毒（COVID-19）疫情大流行和2020年的封锁让所有分析师的预测陷入混乱，但随着经济开始走出危机，IT支出预计将再次恢复，其中包括物联网的增长。

物联网不是一个单一的类别，而是分为许多行业和用例。Forrester Research预测，2021年，物联网市场的增长将由医疗保健、智能办公室、位置服务、远程资产监控和新的网络技术驱动。

这在很大程度上是由COVID-19的余波所推动。远程工作的爆炸式增长以及远程医疗，在一定程度上推动了这一趋势。新的设备正在问世，为那些不能或不愿去看医生的病人做诊断。

与物联网相关的关键问题之一是具备足够的安全机制。这对物联网医疗设备尤其重要，因为出于隐私原因，医疗保健受到了严格的监管。

不仅是保护特定的物联网设备，而是保护所有设备。如果被黑客入侵，你连接的冰箱可能不会对你的家庭安全造成太大威胁，但它可以作为一个网关，进入你家庭网络中更重要的设备。然后它就变得和心脏监测器一样重要了。

工业物联网也是如此。2020年夏天，有消息称俄罗斯黑客侵入了美国核电站的控制系统，这种威胁对全球制造业务的影响相当大。因此，一段时间以来，物联网安全一直是IT经理的头等大事也就不足为奇了。

了解物联网及其复杂性

物联网是连接到互联网的设备集合。这些物联网设备不是传统的计算设备，想想那些还没有联网的电子设备，比如复印机、冰箱、心脏起搏器和血糖仪，甚至咖啡壶。物联网是一个热门话题，因为它可以连接以前未连接的设备，并将连接带到通常孤立的地方和事物。

研究表明，采用物联网公司最大的好处是提高了员工生产力、有更好的远程监控能力和具备简化的流程。

那么，关于物联网安全，你应该知道些什么？

多年来，技术领域出现了一种不幸的模式——急于拥抱新事物，并在稍后确保它的安全。物联网设备就是这样，他们经常因为黑客攻击而登上新闻，威胁程度从轻微到严重不等。

物联网安全是美国国土安全部最关心的问题，该部撰写了一篇关于物联网设备安全的长篇论文。虽然该文档已经存在5年了，而且物联网世界已经发生了很多变化，但其中列出的许多原则和最佳实践仍然有效，值得考虑。

假设每个物联网设备都需要配置

当市场看到智能猫砂盒和智能盐瓶出现时，就证明我们正处于或接近物联网设备的采用高峰。但是，不要忽略这些特性，也不要认为它们是开箱即用的安全配置。让它们未配置或未锁定，对黑客来说是一个突破口，不管是什么设备。

了解设备

必须知道哪些类型的设备连接到了你的网络，并对所有连接的物联网资产有详细的、最新的资料。

应该了解您的资产地图与每一个连接到网络的新设备情况，需要了解的事实包括制造商和型号ID、序列号、软件和固件版本等。

需要强大的登录凭证

人们倾向于在所有设备上使用相同的登录名和密码，而且通常密码都很简单。

应确保每个员工的每次登录都是唯一的，并要求设置强密码。如果可用，请使用双因素授权，并始终在新设备上更改默认密码。为了确保可信的连接，使用公钥基础设施（PKI）和数字证书为设备身份和信任提供安全的基础。

使用端到端加密

连接的设备相互通信，当它们这样做时，数据就从一个点传输到另一个点，而且往往是在没有加密的情况下。您需要在每次传输时加密数据，以防止包嗅探（一种常见的攻击形式）。设备应该有加密数据传输选项，如果没有，就要考虑其他选择。

确保更新设备

确保在第一次使用时更新设备，因为固件和软件可能在设备生产和购买之间更新过，如果设备有自动更新功能，启用它，这样就不必手动更新了。另外还需要定期检查设备，看看是否需要更新。

在服务器端，修改路由器的名称和密码。默认情况下，路由器通常以制造商命名，建议避免在网络中使用公司名称。

禁用不需要的功能

保护设备的一个很好步骤是禁用任何不需要的特性或功能。这包括开放的TCP/UDP端口、开放的串行端口、开放的密码提示、未加密的通信、不安全的无线连接或任何可以进行代码注入的地方，如Web服务器或数据库。

避免使用公共WiFi

在星巴克使用WiFi并不是什么好主意，尤其是当你连接到自己的网络时。

公共WiFi接入点经常是旧的、过时的且没有升级的，而且很容易破坏安全。如果必须使用公共WiFi，请使用VPN。

建立客户网络

访客网络是一个很好的安全解决方案，对于那些想在家里或办公室使用你WiFi的访客。可以为他们提供网络访问，但将他们与主网络隔离。

也可以为物联网设备建立客用网络，这样如果设备被入侵，黑客就会被困在客用网络中。

使用网络分段

网络分段是指将网络划分为2个或多个子部分，以实现对设备和工作负载之间流量横向移动的精细控制。在不分段的网络中，没有任何东西是隔开的。每个端点都可以与另一个端点通信，因此一旦黑客突破防火墙，他们就拥有完全的访问权限。在一个分段的网络中，黑客移动变得更加困难。

企业应使用虚拟局域网（VLAN）配置和下一代防火墙策略来实施将物联网设备与IT资产分开的网段。这样，2个组都可以受到保护，不会受到横向攻击的可能性。

还可以考虑部署零信任网络体系结构。零信任基本上保护了每一个数字资产，并且不假定来自另一个数字资产的信任，从而限制了未经授权的访问。

主動监控物联网设备

实时监控、报告和警报对于组织管理物联网风险是必不可少的。

传统的端点安全解决方案通常不能与物联网设备一起工作，因此需要一种新的方法。这意味着需要对异常行为进行实时监控，就像零信任网络一样，不要让物联网设备在没有持续关注的情况下访问你的网络。