企業的安全團隊應該采取一些措施和步驟，為2020年物聯網面臨不斷發展的安全威脅做好準備。

在新的一年到來的時候，安全行業的人士總在問這些問題：在未來一年面臨的安全挑戰是否與往年有所不同？企業是否應該改變防御策略，尤其是在運營技術（OT）、物聯網（IoT）和關鍵基礎設施組件方面？

安全廠商Nominet公司網絡安全副總裁StuartReed表示：“在網絡安全的總體趨勢中，我們看到的是，這里一直都是一個充滿活力的地方，但現在網絡攻擊沒有界限。”他解釋說，那些針對運營技術（OT）跨越邊界的網絡攻擊可能會產生超出IT系統之外，甚至對人類的生命和安全產生直接影響。

運營技術（OT）和物聯網（IoT）設備的安全性工作很復雜，而運營技術（OT）和物聯網（IoT）的設計安全性目前不是IT系統的標準。Reed說：“許多控制系統和運營技術（OT）基礎設施從來沒有設計過以數字方式連接到其他任何地方。”他解釋說，但是數字化的持續發展趨勢意味著很少有運營技術（OT）系統可以長期隔離網絡攻擊。

隨著網絡犯罪分子和激進國家的網絡威脅不斷發展，安全團隊應采取哪些步驟來保護其組織擁有的運營技術（OT）和物聯網（IoT）系統？網絡安全專家對如何應對2020年物聯網威脅提出了一些建議。他們希望在未來一年無論威脅環境如何變化，都確保其運營技術（OT）系統盡可能安全。以下是網絡安全專家提出的七個安全注意事項：

1.注意邊緣

nVisium公司首席執行官JackMannino說：“隨著邊緣計算和分布式傳感器網絡的增長，云計算基礎設施和邊緣設備成為網絡攻擊者越來越關注的目標。使邊緣設備不受攻擊者控制的關鍵是采用混合方法來解決問題。”

Mannino說，“邊緣計算需要采用混合云方法，其中邊緣設備和云計算服務必須在每一層建立信任。用戶決定如何建立信任并成為業務流程的一部分，首先要詳細分析邊緣設備如何生成數據、生成什么類型的數據，以及將數據傳輸到應用程序基礎架構的其余部分的過程。”

就像傳統的IT攻擊者通常選擇用戶作為進入網絡的方式一樣，那些想要破壞企業物聯網設備的網絡攻擊者可能會看到邊緣設備托管最簡單的進入端口，這使用戶將注意力集中在網絡中心上，忽視了邊緣上比較脆弱的設備。

2.安全培訓

Reed說，盡管惡意軟件和基于物聯網的攻擊變得越來越復雜，但成功進行攻擊并不需要高度復雜的技術。他解釋說：“如果人們不了解自己在良好的網絡衛生中所扮演的角色和責任，那么可能會發生一些非常基本的攻擊。”

這些角色和職責包括一些顯而易見的要點，比如不要點擊來自未知或意外來源的附件，但它們遠遠超出了這些基本要求。畢竟，保護重要的數據和基礎設施，InformationSecurityForum常務董事SteveDurbin表示：“首先要求最終用戶接受數據需要保護的理念。由于有著不同的社會規范，涉及數據的公認價值，因此需要保護數據，以及誰應該首先負責保護數據。”

Reed說，最大限度地降低員工行為風險的關鍵是安全教育和培訓。他解釋說：“除了培訓課程，我認為安全教育可以采取多種不同的形式。例如在線媒體在更廣闊網絡安全教育方面扮演著非常關鍵的角色。”

3.物聯網的可見性

與安全專家進行對話時，一個共同的主題是需要更好地了解用戶的網絡和基礎設施。這種需求不會隨著傳統IT和物聯網設備之間的劃分而停止。

Thycotic公司首席安全科學家Carson說：“如果沒有物聯網設備及其帶來的風險，就無法確定物聯網數據的潛在安全和隱私風險。要了解物聯網設備的風險，用戶首先想知道其功能或用途，例如是數據收集器、數據處理器還是數據相關器。在確定作為基礎設施的一部分的設備之后，了解功能是第二步。”

安全專業人員在提高其整體基礎設施的物聯網的可見性方面應該做些什么？nVisium公司Mannino說，“這項工作應該從對物聯網設備等資產的架構藍圖進行一致的安全分析，以找出缺失和設計錯誤的架構控制，并在允許的情況下采用一致的安全代碼分析。”

4.消費者設備問題

如果用戶有一個網絡，則很有可能將消費類設備連接到基礎設施。企業員工已將消費類設備作為日常生活的一部分，大多數員工都不愿意放棄這些設備的優勢。Durbin說，“當這些消費者工作時，他們也希望將這些功能強大的設備用于業務應用，而在過去的幾年中，這導致組織與個人之間，個人信息與公開可用的詳細信息之間的界限越來越模糊。”

在許多情況下，問題并非始于員工使用自己的設備，而是始于許多消費類設備在設計之初就并未被設計為安全的業務設備。此外，Dubirn說，“這些設備的使用方式模糊了個人和企業使用與行為之間的界限。其潛在的風險包括濫用設備本身、外部利用軟件漏洞，以及部署未經測試的、不可靠的業務應用程序。”

在處理整個物聯網環境中可能涉及的云計算服務和物聯網設備時，安全專業人員需要積極與他們的供應商和合作伙伴互動，以確保基本組件能夠安全使用。例如，Acceptto公司首席安全架構師FaustoOliveira表示，物聯網設備必須具有更改默認用戶名和密碼的能力，以及與網絡中上游和下游系統進行加密通信的能力。Oliveira說：“企業需要供應商提供強有力的指導，并確保在選擇過程中，安全是一項明確定義的功能。”他表示，這符合供應商及其用戶的最大利益，以確保整個系統盡可能安全。

5.物聯網連接安全性

當然會有一些小型組織（以及高度安全的政府或軍事機構）的物聯網設備不包含互聯網連接。但是對于大多數組織而言，移動、分析和使用其邊緣設備中的數據意味著將設備連接到全球互聯網和一個或多個云計算服務。nVisium公司的Mannino指出，“隨著邊緣計算和分布式傳感器網絡的增加，云計算基礎設施和邊緣設備已成為一種趨勢。而這對于網絡攻擊者來說越來越有吸引力。”

Vectra公司安全分析主管ChrisMorales簡潔地解釋了這一點。他說，“與傳統的桌面系統不同，物聯網設備需要確保存儲和鎖定的數據不會被窺視，物聯網設備被設計為彼此共享信息，并共享到遠程存儲位置進行分析，并為企業提供對其數據的遠程訪問。這通常需要物聯網設備制造商托管的云存儲。”

在處理可能涉及整個物聯網環境的云計算服務和物聯網設備時，安全專業人員需要積極與其供應商和合作伙伴接洽，以確保基本組件能夠安全使用。例如，Acceptto公司首席安全架構師FaustoOliveira表示，設備必須能夠更改默認用戶名和密碼，以及與網絡上下游系統進行加密通信的能力。他說，“組織需要向供應商提供強有力的指導，并確保在選擇過程中，安全性是一個明確定義的特性，是不可選擇的，確保整個系統盡可能安全符合供應商和客戶的最大利益。”

6.專注于物聯網設備敏捷性

物聯網的兩個特點使擴展運營技術（OT）變得如此脆弱，這就是大量物聯網設備的不可改變的特性。易受攻擊、靜態和持久性并不是大多數專業人員在安全基礎設施中需要的特性。

Acceptto公司的Oliveira說：“需要取消默認用戶名和密碼以及不安全的協議（如telnet），并采用更好的方法來實現可管理性，而無需使用易于妥協的默認帳戶和不安全的協議。”他堅持認為，僅向供應商強調他們的設備必須允許更改默認憑據和協議是不夠的。用戶必須將這些作為購買設備的要求。

Oliveira說：“物聯網設備需要被視為任何安全資產，因此需要定期管理和審核漏洞。”Nominet的Reed也對此表示認同，他說，“全面的從業人員必須確保他們具有正確的審核、控制、政策，以便能夠放心地了解與他們合作的第三方，并且采取更好的安全措施。”

他們都承認，如果無法重新配置基礎設施中的設備來解決漏洞，那么可靠的審核和監視的影響將會非常有限。

7.無情數據

物聯網的數據生成能力需要符合歐盟的《通用數據保護條例》和最新的《加州消費者隱私法》等法規的要求。因此，Vectra公司的Morales說，“企業需要更加注意設備收集的數據類型以及如何使用這些數據。”他指出，在攝像頭、GPS跟蹤系統和傳感器跟蹤業務的每個階段生成數據的時代，保護個人隱私對于保護用戶信息自由至關重要。

Morales說：“物聯網設備旨在相互共享信息，并共享給遠程存儲位置以進行分析，并為企業提供對其數據的遠程訪問。而且，數據必須在設備中以及從業務流程的一個階段轉移到另一個階段時都受到保護。”

Acceptto公司的Oliveira說，“與設備之間的所有通信都必須加密，并且在理想情況下，數據流量必須受基于場景和基于角色的訪問控制，除非在特殊的情況下，否則沒有理由讓設備可以通過全球互聯網進行連接。”

要了解如何將“無情數據”應用到物聯網的各個部分，首先要了解基礎設施及其啟用的業務流程。Thycotic公司的Carson說：“如果沒有物聯網設備帶來的風險，就無法確定其數據的潛在安全性和隱私風險。在了解物聯網設備的作用以及與之相關的數據后，就可以評估采用物聯網設備帶來的風險。”