IoT安全,这个责任该谁来负?

　　如果我们想享受互联系统的所有便利，那么每个人都需要清楚并承担起自己相应的责任。

　　自“物联网”成为专业术语以来已经过去了近二十年时间，但是我们仍然在追问一个同样的问题：“保护数以亿计的物联网设备的安全是谁的职责。”考虑到这一市场的最新进展，有人可能认为我们现在已经搞清楚了其中的答案，但事情并非如此简单。

　　尽管物联网安全长期以来一直是热门的讨论话题，但是它正变得越来越重要，越来越具挑战性。首先，由操作技术(OT)独自负责保护物联网安全的日子已经一去不复返了，其通常“通过隐匿性来实现安全”，即在物理上将产品操作、工业网络与企业网络和互联网隔离起来。虽然企业已经意识到需要将IT与OT整合起来从而推动新的使用案例，在网络和应用之间实现开放的数据流，支持更好的业务决策，降低成本，减少复杂性，但IT与OT实践之间的诸多差距正成为新的攻击面。

　　其次，网络中的不法分子通过发现这些脆弱的攻击面，正越来越多地将物联网作为目标。研究显示，将由物联网僵尸网络中的物联网设备发起的DDoS(分布式拒绝服务)攻击正呈上升趋势。例如，Mirai僵尸网络病毒已经感染了数十万物联网设备，这让它们有能力协同发起大规模网络攻击。

　　再次，对于物联网安全而言，每个垂直领域都不相同，一些涉及核心的或关键任务基础设施，以及各种不同的规定。例如，在公共事业行业，美国政府近期强制将第五版NERC CIP(北美电力可靠性委员会关键基础设施保护)标准作为网络安全标准，而医疗行业则按照HIPPA要求保护数据的安全。

　　虽然企业IT、首席信息安全官和各国政府在物联网安全中发挥着核心作用，但围绕解决关键的安全性、数据保护和隐私而提出的一系列要求形成共识是每个人，尤其是行业的责任。

　　从设备至行业标准

　　设备和安全厂商对于物联网生态系统都非常关键。尽管如此，设备厂商还是放慢了对安全性的投资，因为这会增加成本和复杂性，拖延上市时间。随着许多制造商在安全性上栽了跟头，如在设备中使用默认名称和密码，消费性物联网小工具的安全性轻易就受到了威胁。

　　在2016年一系列重大的消费级物联网攻击事件发生后，不仅政府开始考虑相应法规，越来越多的厂商和设备制造商也终于开始对物联网安全进行相应的投资。

　　与此同时，物联网厂商开始合力制定关于物联网安全的标准、互操作性和相关认证。如ODVA、OPC和ISA等标准组织正努力在安全性方面与IEC 62443标准看齐。这些标准将更高层面上垂直且针对特定行业的最佳实践与将行业安全作为常量的水平方案有机结合到了一起。IETF、工业互联网联盟(IIC)安全工作组和IEEE等机构正在积极地开发和探索物联网安全架构、标准和方法以确保由不同品牌、型号和类型组成且相互连接的物联网系统的网络安全。这将有助于公司在开发和部署自己的物联网解决方案时降低风险。

　　与传统的IT环境相比，物联网环境更加分散、更加多元化、更加复杂，并且往往在规模上也更加庞大。这些独特的挑战让所有参与者的工作更加复杂。这为我们引出了保护物联网安全的下一道防线——你的职责。

　　最佳的业务实践

　　随着厂商开始重视物联网安全挑战并接受互操作标准，不同行业的公司也必须要将保护物联网安全，防范潜在的灾难性网络攻击作为自身工作的一部分。关键的策略是获取网络、网络端点、物联网设备和云基础设施的可视性。要想实现这一目标，可以考虑下列工具和最佳实践：

　　1.列出接入网络的设备和系统清单

　　安全团队通常只有被管理设备的快照视图或过时的列表进行参考。如果可能的话，让设备搜索能够自动地准确知道哪些设备正在运行哪些操作系统，并迅速发送补丁堵上已知漏洞。此外，还要对集中平台进行投资，这些平台能够整合所有的物联网创新，提供可视性(和安全性)，并从不同系统间的数据共享中获得新的价值。

　　2.实现实时监测和漏洞检测

　　对能够密切监测网络流量、检测攻击者和追踪物联网设备与网络和其他设备交互方式的解决方案进行调研。如果一部物联网设备正在扫描其他设备或是可预见的流量模式发生了变化，那么这些都是恶意行为的明显征兆。例如，如果一部HVAC系统正在与销售点(POS)系统通信，或是POS竟然向云端发送数据，那么我们需要迅速标记并关闭这一行为。

　　3.执行基于网段和角色的访问控制

　　确保只有经过授权的人、机器或进程可以访问特定类别的设备或数据流。HVAC没有任何理由可被允许与POS对话，不是吗?为了阻止这种情况发生，应将这些系统隔离在一个独立的网段内，并评估网段策略，定期测试其有效性。

　　4.员工培训，让安全意识成为一种文化

　　员工(无论他们的岗位是什么)应当成为抵御威胁的第一道防线。就像物联网本身，安全教育并非一劳永逸的事情。IT和物联网均面临的另一个问题是60%的安全威胁源自内部。四分之一的违规事件为无意识操作，包括点击钓鱼邮件中的链接和为未经授权的人敞开大门。这就是我们为什么在前面提出物联网安全是所有人的责任的原因。

　　尽管这些最佳实践将帮助确保物联网的安全，但是公司必须在物联网安全方面采取一个基于策略的综合性方案，将数据、设备和物理安全综合在一起，这是一条底线。这些工作将会带来一些新的物联网使用案例，明确客户的责任。随着每年数以亿计的新设备上线，为了保护物联网系统的安全，我们将采取打破边界或“通过隐匿性来实现安全”的防御方式。如果我们想享受互联系统的所有便利，那么每个人都需要清楚并承担起自己相应的责任。

　　请仔细思考，你在保护物联网安全中的职责究竟是什么?

　　作者：Maciej Kranz，为思科公司战略创新部副总裁，全球物联网顶级专家，同时也是《纽约时报》畅销书《构建物联网世界(Building the Internet of Things)》的作者。

　　编译：范范

　　审稿编辑：宋辰

　　排版编辑：焦旭