物聯網為企業帶來了前所未有的靈活性和功能性。更多的物聯網設備有望幫助企業簡化供應鏈運作，提高效率，降低現有流程中的成本，提高產品和服務質量，甚至為客戶創造新的產品和服務。物聯網將優化甚至徹底改革商業模式，使之變得更好。

[[317586]]

物聯網數據的大規模生成、收集和分析無疑將為企業提供巨大的利好，但通過不安全的網絡和易受攻擊的切入點，物聯網設備很容易遭受攻擊，這吸引了不少蠢蠢欲動的網絡罪犯分子。

根據Gartner的數據，近20%的企業在過去三年中至少受到一次基于物聯網的攻擊。到2025年，全球聯網設備預計將有750億個，也就是說，網絡安全漏洞和數據泄露的風險將在現在的基礎上增加5倍。

因此，隨著我們進入一個以物聯網為主導的新時代，在部署多個連接設備時，必須重新審視企業面臨的威脅，并將其納入企業安全戰略。以下是所有企業在制定網絡防御計劃中都應考慮到的物聯網安全漏洞的三個案例——從對看似無利害關系的產品入侵，到徹頭徹尾的惡意攻擊。

1.即便是最簡單的連接設備也容易受到攻擊

幾乎所有去拉斯維加斯賭場的人都是贏少輸多，但這通常與網絡攻擊沒有聯系，更不用說從魚缸開始的物聯網攻擊了。然而，這正是拉斯維加斯一家賭場首次遭遇網絡安全攻擊的原因。

在賭場的浴缸里，用于遠程監控和投喂的連接溫度計為黑客提供了一個完美的訪問點，讓他們可以獲取有關高級游客的數據。黑客總共竊取了10GB的個人數據，并將其發送至芬蘭的一個遠程服務器。

物聯網設備正越來越多地應用于各個領域，正如拉斯維加斯魚缸的事例，即使是最簡單的連接設備也可能成為通往企業網絡或其他私有網段的潛在網關。鑒于世界上80%的數據都保存在私人服務器上，因此阻止黑客入侵比以往任何時候都更重要。

2.連接設備的物理保護和處理很復雜

有時候，你需要警惕的不是黑客，而是物聯網設備本身的運作。2018年，網絡安全博客Limited Results對LIFX迷你白熾燈泡進行了黑客攻擊，發現了智能燈泡自身的漏洞，即任何能夠實際訪問該產品的人都可以提取用戶的Wi-Fi密碼、以及RSA私鑰和root密碼。

LIFX通過固件更新修復了該漏洞，但它引出了有關設備的物理狀態的重要問題，包括舊的或有缺陷的智能設備的使用和處理過程中的保護。隨著企業業務繼續采用和升級IoT，這個經常被遺忘的漏洞必須銘記于心。

3.惡意軟件帶來網絡物理威脅

世界已經習慣了惡意軟件竊取私人信息，但正如拉斯維加斯魚缸和LIFX的例子那樣，它很少對受害者構成身體上的威脅。直到2018年，人們發現了針對沙特阿拉伯一家煉油廠安全系統的Triton industrial惡意軟件。據說這是有史以來第一個被設計用來危害工業安全系統的惡意軟件，通過該軟件，黑客能夠禁用傳感器，嚴重的話會有致命的災難發生。黑客們采取措施，慢慢滲透進越來越多的系統，并開發出更精確的惡意軟件。

幸運的是，在更多的攻擊被執行之前，這個實例就被發現了，但這并不能阻止黑客開發出更危險的惡意軟件。因此，隨著工業控制系統日益連接并依賴于物聯網設備，企業必須采取措施為這些設施建立安全保障。

合規管理的難題

即使物聯網沒有廣泛應用，許多企業也面臨著創新的挑戰，這些創新可能為數據保護打開潛在的漏洞。在過去的幾個月里，英國航空公司(British Airways)、萬豪酒店(Marriott Hotels)和多家地方政府機構因意外泄露大量個人數據，根據歐盟(eu)《一般數據保護條例》(General Data Protection Regulations，簡稱GDPR)被處以巨額罰款。事實上，僅萬豪酒店的數據泄露就暴露了700萬條與英國居民有關的記錄。

這些巨額罰款表明，歐盟委員會(EC)內部的監管機構是很積極地解決安全和合規問題，以確保個人數據保持私密。即將出臺的新的基于英國的物聯網安全法律將要求設備制造商對連接設備本身內易受攻擊的切入點負責。然而，企業還需要對自身IT架構中的弱點——安全性和遵從性，承擔更多的責任。

解決方案是什么?

物聯網尚處于雛形狀態，在可預見的未來，它很可能會成為黑客的一個很具吸引力的目標。隨著越來越多的技術出現，IT環境變得越來越復雜，物聯網的攻擊面將會迅速增加。企業必須采取正確的預防措施，防止黑客攻擊對物聯網項目造成嚴重破壞。

加強網絡安全的一種方法是在安全環境中使用機器學習(ML)和人工智能(AI)等先進分析技術處理物聯網數據。通過采用先進的分析技術，可以監測所有連接設備的運作和異常，從而識別關鍵的安全事件或誤操作。更重要的是，通過采用BlockChain，企業可以消除物聯網中對數據中心的需求。這意味著，如果管理員被要求執行一項不尋常的任務，網絡中的任一連接設備都可以提醒管理員。

企業在支持物聯網環境時，也必須考慮到他們的合作伙伴——專業的網絡安全機構，其運營的用于實時應對網絡攻擊的先進安全防御中心，可以為企業提供一站式服務，滿足它們的網絡安全、合規和新興技術需求。

這樣的網絡安全中心應該是由一系列復雜的工具和平臺提供動力，包括日志和行為分析、網絡威脅情報、基于云的安全框架、由機器學習驅動的高級攻擊預測平臺，并集成到一個自動化和編排平臺中。

因此，這些中心可以為企業提供一個全面的安全儀表板，可鳥瞰IT和物聯網網絡及其安全性。從成本和技能的角度來看，這樣的中心很難建立和維護，因此企業可以利用專家合作伙伴的深厚專業知識來加強他們的系統和數據保護態勢，并應對日新月異的法規。

只有采用整體方法來解決物聯網安全問題——采用基于云的普適控制，并通過新興技術進行擴展可見性和保護，才能確保企業端到端受到保護，并始終遵守數據保護標準。

總之，沒有必要害怕物聯網。有了正確的保障措施，它就可以履行其承諾，并改進它要提供的流程和服務。