物联网（IoT）是相对较新的发明。十年前，我们的主要工作是保护电脑，而五年前我们开始要保护智能手机。现在我们还需要考虑保护冰箱、供暖系统和工业机器，以确保企业网络安全。

物联网正在迅速发展，据研究人员估计，到2020年，联网设备的数量将会超过400亿。更多的联网设备意味着更多的攻击媒介和潜在漏洞，这些设备正越来越多成为犯罪分子的目标。

物联网安全曾一度被忽视，而现在已经变成大家高度关注的问题。就在一年前，一家美国赌场遭受攻击，黑客通过智能鱼缸入侵其网络。在攻击被检测和阻止前，超过10GB的数据被泄漏。同时，智能冰箱也被发现作为僵尸网络的一部分。

这并不是偶然事件。Digital Pathways公司总经理Colin Tankard称：“攻击者可能攻击供暖和通风系统，这些系统位于企业的主干网络。从那里，他们可能会开始嗅探网络中的数据包并发现其他及其或者访问另一个系统，因为这些系统的安全性很差而且管理不善。”

“参与设施管理和网络运营的每个团队通常无法可看到彼此的系统；这创建了独立的信息岛屿。问题是，当一个系统出现问题，只能在该系统看到。黑客正是利用了这种缺乏相互关联的状态。”

物联网设备的核心问题之一是，尽管连接网络，它们最初并不被视为威胁。当它们被视为独立的实体时，更加不被认为是威胁，但当它们连接到更广泛的企业网络时，这些安全薄弱的联网设备就变成网络的软肋，并对数据安全构成威胁。

物联网设备总是处于联网以及开启的状态，并且，通常使用一次性身份验证，这进一步使其成为网络渗透的理想目标。Tankard称：“当攻击者获得系统访问权限并登录后，不会有二次检查，通常也没有事件日志。从这里他们可安装恶意软件或其他监控软件，而不会向系统控制台发送警报，更糟糕的是，还可向企业内安装的任何IDS（入侵检测系统）发送警报。”

“因此，这种访问不会被发现，因为这些系统并不智能，它们不会报告称另一个传感器正在遭受攻击或者核心系统内的变更。”

另一个问题是联网工业机器通常运行专有系统，来自这些工业设备的数据包会被IDS和入侵保护系统（IPS）显示为异常命令。根据系统的设置，这些通常可能被忽略。如果它们是恶意，才会有严格的检查。

Tankard称：“有些机器和设备运行奇怪的协议，而IDS不知道该怎么做。在过去，管理员会查看，将其认为是旧的加热系统而不会进一步调查，这样攻击者就又有一个潜在的攻击机会。”

此外，物联网设备不像计算机那样经常更换。当企业的计算机寿命结束（通常是三年保修期）时，会被更新的机型所取代。但对于联网设备，更换周期可能会更长。例如，通常工业机器或者加热系统可能每10-15年更换一次，在此期间保修期将过期。

同时，随着供应商将注意力从支持传统设备转向推广新设备，对这些设备的支持会逐渐减少。最终，供应商会停止对传统设备的支持，安全更新和固件布丁都会停止，当然，这里的前提是首先假设存在这种支持。

更换旧的联网设备和机器不太可能，因为每三年更换工业机器的成本会过高。同样，如果什么都不做会让企业网络处于易受攻击的状态。

企业应该做的第一件事是确保所有物联网设备都得到及时更新和修复。由于企业可能拥有大量物联网设备，不太可能对这些设备手动更新。同时，自动更新可能带来被利用的风险。理想的解决方案是在测试设备上运行更新以确保更新正常运行。

风险评估

企业应该考虑对每个联网设备安装易受攻击的更新所带来的危险进行风险评估，并根据具体情况评估每个更新。此外，这个过程应该加入到企业的数据保护策略。英国微软国家安全顾问Stuart Aston表示：“企业必须完全掌握设备的位置、它如何被使用以及它包含的企业访问管理。”

由于联网设备继续在超出其服务保障范围的情况被使用，并且，不再有安全补丁，企业应该部署额外的安全措施，对这些结束服务的设备部署基础设施更新，或者通过部署额外的安全措施来减少系统数据泄漏风险。

随着时间的推移，这里的成本可能会很高，因此还应该进行财务评估以确定替换传统系统的最佳时间。Tankard指出：“企业需要接受系统会有不再被修复和更新的时候。他们必须加倍努力来保护系统，以确保不会被攻击者利用或者成为企业漏洞。”

无论是否有联网设备，企业应该加密其网络。还应该加密命令和数值。如果可以的话，设备还应该设置为使用安全套接字层（SSL）连接。

IDS和IPS系统可用来持续监控网络，以及关注网络网关—两个网络交互的点。

企业也可将网络分成各种子网络，将联网设备和机器放在单独的子网络，从而限制信息的流动。当然，数据仍然可在不同的子网络之间流动，同时，通过子网络之间妥善管理的网关，可阻止恶意访问。

网络分段

网络分段可能会影响效率和连接性—工业设备无线连接最大好处之一是远程工作，但通过适当管理的网关安全，这可得到缓解。

Agilitas公司IT服务总监Scott Lynn表示：“所有连接到企业网络的公司自有设备都应根据需要进行检查、修复和锁定。其他设备则会提供访客网络连接，以确保企业网络可抵御外部威胁。”

在购买新设备时，企业应该进行全面的市场调查。不应只是关注设备的功能和可靠性，还应该关注供应商在数据保护方面的声誉、设备的安全性以及售后服务保障。Lynn称：“当我们在评估新设备时，供应商在安全方面的声誉是我们主要考虑因素之一。对于需要在全球全天候运作的企业来说，尝试新的或者声誉较低的新供应商风险太高。”

当新的联网设备首次进入网络时，应检查它们是否存在潜在的漏洞。任何未使用或者易受攻击的连接都应该被锁定并确保安全性，例如通过SSL。Lynn指出：“在部署设备时，我们记录了网络中所有设备的固件级别。”

目前，还没有立法或认证强制供应商在其设备中提供足够的安全保护。ISO/IEC 27001（信息安全管理）是最接近的要求，但它仅提供有关供应商/制造商在保护自身方面的信息，而不是关于其产品的安全性。

新的法规

然而，英国政府最近宣布计划推出新的法规，旨在改善联网设备的安全措施。他们在国家网络安全中心（NCSC）的支持下开发了Security by Design审查，以解决很多智能物联网设备中的安全漏洞。

面对很多涉及物联网设备的重大数据泄漏事故，在过去12个月，人们越来越意识到需要为联网设备制定适当的安全协议。然而，我们仍然有很多安全性较差的设备，这些设备需要得到严密监测以确定是否有恶意行为。

微软的Aston称：“当物联网设备被忽视时，就会出现真正的网络问题，因为它们容易受到攻击，并且它们传输的数据和提供的服务会面临风险。”

只有严密监控网络和保护易受攻击设备，企业才能够保护其数据安全，免受未经授权的访问。Tankard称：“我确实感觉现在情况正在好转。技术已经到位，但如果你部署着15年之久的系统，还需要很长的时间来改变这一局面。”