為了使物聯(lián)網(wǎng)（IoT）實(shí)施成功，網(wǎng)絡(luò)和安全人員需要?jiǎng)?chuàng)建包括三件事的物聯(lián)網(wǎng)安全路線圖。

對(duì)于許多IT項(xiàng)目而言，安全性通常是事后的想法，但這種方法會(huì)使組織的業(yè)務(wù)面臨重大風(fēng)險(xiǎn)。物聯(lián)網(wǎng)的興起為網(wǎng)絡(luò)增加了指數(shù)級(jí)的設(shè)備，為網(wǎng)絡(luò)攻擊者創(chuàng)造了更多的入口點(diǎn)。更大的問(wèn)題是，許多物聯(lián)網(wǎng)設(shè)備比傳統(tǒng)IT設(shè)備更容易入侵。

物聯(lián)網(wǎng)廣泛應(yīng)用于一些行業(yè)，但它仍處于大多數(shù)企業(yè)的早期階段。對(duì)于剛剛起步的企業(yè)來(lái)說(shuō)，IT和安全領(lǐng)導(dǎo)者現(xiàn)在應(yīng)該為他們的實(shí)現(xiàn)制定安全計(jì)劃。然而，安全的前景廣闊，但令人困惑，因此如何確保物聯(lián)網(wǎng)部署的安全可能并不明顯。以下是創(chuàng)建物聯(lián)網(wǎng)安全計(jì)劃時(shí)必須考慮的三件事。

物聯(lián)網(wǎng)安全計(jì)劃中包含的內(nèi)容如下：

1. 可見(jiàn)性是物聯(lián)網(wǎng)安全的基礎(chǔ)

人們無(wú)法保證不可見(jiàn)事物的安全，所以保護(hù)物聯(lián)網(wǎng)首先是知道連接的是什么設(shè)備，問(wèn)題是大多數(shù)企業(yè)都沒(méi)有線索。有關(guān)機(jī)構(gòu)在今年早些時(shí)候進(jìn)行了一項(xiàng)調(diào)查，并詢問(wèn)受訪者對(duì)于他們知道哪些設(shè)備連接到網(wǎng)絡(luò)的自信程度。高達(dá)61%的人表示信心不足或沒(méi)有信心。更糟糕的是，這個(gè)數(shù)字比三年前的51%大幅上升，表明網(wǎng)絡(luò)和團(tuán)隊(duì)在安全方面有些落后。

可見(jiàn)性是一個(gè)起點(diǎn)，但實(shí)現(xiàn)完全可見(jiàn)性有幾個(gè)步驟。這包括：

設(shè)備識(shí)別和發(fā)現(xiàn)。擁有一個(gè)能夠自動(dòng)檢測(cè)、分析和分類網(wǎng)絡(luò)的內(nèi)容，并且開(kāi)發(fā)完整設(shè)備清單的工具非常重要。一旦配置文件，安全業(yè)界人員可以回答關(guān)鍵問(wèn)題，例如“設(shè)備采用什么操作系統(tǒng)？如何配置？它是可信任的還不可信任的？”重要的是，該工具持續(xù)監(jiān)控網(wǎng)絡(luò)，以便在設(shè)備連接后立即發(fā)現(xiàn)設(shè)備并對(duì)其進(jìn)行分析。

預(yù)測(cè)分析。在發(fā)現(xiàn)之后，應(yīng)該學(xué)習(xí)和基線化設(shè)備的行為，以便系統(tǒng)能夠在攻擊造成任何傷害之前對(duì)其作出反應(yīng)。一旦建立了規(guī)范，就可以對(duì)環(huán)境進(jìn)行異常監(jiān)測(cè)，然后采取行動(dòng)。這對(duì)于高級(jí)持久性威脅（APT）特別有用，在那里它們保持休眠并映射環(huán)境。任何行為的改變，無(wú)論多么微小，都會(huì)觸發(fā)警報(bào)。

2. 網(wǎng)絡(luò)分段可提高安全敏捷性，阻止威脅的橫向移動(dòng)

網(wǎng)絡(luò)分段的工作原理是分配策略、分離資產(chǎn)和管理風(fēng)險(xiǎn)。當(dāng)物聯(lián)網(wǎng)設(shè)備被破壞時(shí)，網(wǎng)絡(luò)分段會(huì)阻止威脅橫向移動(dòng)，因?yàn)橘Y產(chǎn)被分類并組合在一起。例如，可以在醫(yī)院中建立策略以將所有心臟泵置于安全區(qū)段中。如果違反了一項(xiàng)規(guī)定，則無(wú)法獲取醫(yī)療記錄。

在組合網(wǎng)絡(luò)分段平臺(tái)時(shí)，需要考慮三個(gè)關(guān)鍵事項(xiàng)。

風(fēng)險(xiǎn)識(shí)別。先是根據(jù)企業(yè)認(rèn)為重要的標(biāo)準(zhǔn)對(duì)設(shè)備進(jìn)行分類。這可以是用戶、數(shù)據(jù)、設(shè)備、位置或幾乎任何其他內(nèi)容。然后應(yīng)將風(fēng)險(xiǎn)分配給具有類似風(fēng)險(xiǎn)特征的組。例如，在醫(yī)院中，所有與核磁共振成像（MRI）相關(guān)的端點(diǎn)都可以被分離到它們自己的區(qū)段中。如果違反了一項(xiàng)規(guī)定，則無(wú)法訪問(wèn)醫(yī)療記錄或其他患者的信息。

策略管理。隨著環(huán)境的擴(kuò)展，需要發(fā)現(xiàn)新設(shè)備并應(yīng)用策略。如果設(shè)備移動(dòng)，則策略需要隨之移動(dòng)。將策略管理完全自動(dòng)化非常重要，因?yàn)槿藗儫o(wú)法快速進(jìn)行更改以跟上動(dòng)態(tài)組織的步伐。而策略是管理整個(gè)組織風(fēng)險(xiǎn)的機(jī)制。

控制。一旦威脅參與者獲得訪問(wèn)權(quán)，威脅者就可以在網(wǎng)絡(luò)上漫游數(shù)周，然后再采取行動(dòng)。隔離物聯(lián)網(wǎng)端點(diǎn)以及與其通信的其他設(shè)備、服務(wù)器和端口，允許企業(yè)在風(fēng)險(xiǎn)基礎(chǔ)上分離資源。從策略的角度選擇對(duì)與物聯(lián)網(wǎng)設(shè)備交互的部分網(wǎng)絡(luò)進(jìn)行不同的處理，使組織能夠控制風(fēng)險(xiǎn)。

3. 設(shè)備保護(hù)在物聯(lián)網(wǎng)安全中位列首位

物聯(lián)網(wǎng)安全的首要任務(wù)是先保護(hù)設(shè)備，然后保護(hù)網(wǎng)絡(luò)。一旦一個(gè)物聯(lián)網(wǎng)設(shè)備被保護(hù)并加入網(wǎng)絡(luò)，它必須以與其他網(wǎng)絡(luò)元素協(xié)調(diào)的方式進(jìn)行保護(hù)。保護(hù)物聯(lián)網(wǎng)端點(diǎn)是正確執(zhí)行策略的問(wèn)題。這是通過(guò)以下機(jī)制實(shí)現(xiàn)的：

政策靈活性和執(zhí)行力。解決方案需要更加靈活，能夠在設(shè)備和訪問(wèn)級(jí)別定義和實(shí)施策略。為了滿足物聯(lián)網(wǎng)的需求，需要強(qiáng)制執(zhí)行控制設(shè)備行為、流量類型以及它在網(wǎng)絡(luò)上的位置的規(guī)則。物聯(lián)網(wǎng)端點(diǎn)、消費(fèi)設(shè)備和云計(jì)算應(yīng)用程序就是必須建立和實(shí)施不同策略的例子。

威脅情報(bào)。一旦建立了控制措施，就必須始終如一地執(zhí)行策略，并在整個(gè)網(wǎng)絡(luò)中轉(zhuǎn)換合規(guī)性要求。這就創(chuàng)建了一種智能的自我學(xué)習(xí)結(jié)構(gòu)，可以立即對(duì)威脅作出反應(yīng)。當(dāng)情報(bào)分布在整個(gè)網(wǎng)絡(luò)上時(shí)，可以在攻擊點(diǎn)采取行動(dòng)，而不是等待威脅到達(dá)中心點(diǎn)。威脅情報(bào)應(yīng)該是本地信息和全球信息的結(jié)合，以在威脅發(fā)生之前識(shí)別它們。

不幸的是，對(duì)于網(wǎng)絡(luò)和安全從業(yè)人士來(lái)說(shuō)，在保護(hù)物聯(lián)網(wǎng)設(shè)備方面并不簡(jiǎn)單。但是，通過(guò)正確的規(guī)劃和準(zhǔn)備，即使是較大的物聯(lián)網(wǎng)環(huán)境也可以得到保護(hù)，因此企業(yè)可以繼續(xù)實(shí)施，而不會(huì)使其業(yè)務(wù)面臨風(fēng)險(xiǎn)。