把更多的物聯網設備連接到您的網絡，將增加您的攻擊面，降低對潛在威脅的可見性，并需要在IT和OT(運營技術)之間進行更大規模的協調。

業務和運營環境中的物聯網系統增加了攻擊面，并給許多企業的關鍵數據和系統的保密性、完整性和可用性帶來了新的風險。

[[327166]]

安全主管需要更新其組織的威脅概況，以說明這些風險，并實施一個正式的計劃來主動管理這些風險。否則，它們就有可能成為利用脆弱的物聯網環境進行間諜、竊取數據、發起分布式拒絕服務(DDoS)攻擊、提升權限和以其他方式干擾行動的對手的軟目標，分析人士說。

“物聯網設備具有獨特的風險，因為企業的IT和OT網絡上通常會有數百個此類設備，每個都擴大了攻擊面，增加了組織的風險，”Booz Allen Hamilton的首席工程師兼高級助理Kyle Miller表示。

近年來，互聯網連接設備在傳統IT和運營環境中得到了激增。那些希望將自己改造成互聯企業的組織已經在工廠、設備、現場和其他地方都部署了物聯網傳感器和設備，這導致了大規模的數據洪流。

在企業內部，從設施管理和安全監控系統到打印機和照明系統的一切都連接到了互聯網。分析人士預計，在未來幾年，企業將部署數十億的物聯網設備，以支持無數的用例。這將迫使組織在開發威脅模型時重新考慮以下因素。

有哪些關于物聯網的擴散控制措施?

埃森哲全球網絡安全業務北美網絡防御主管Robert Boyce表示，企業內部的很多物聯網使用都是以增量的、非戰略性的方式進行的，很少受到IT或安全的監管。“許多組織在部署物聯網設備時沒有經過正式的治理流程，”他說。因此，很少有人對物聯網資產的前景和相關風險有清晰的認識。從威脅的角度來看，小型物聯網部署有時完全被忽視了。

例如，在企業設置中使用的許多設備，包括IP攝像頭、數字助理和其他智能設備，都會直接連接到internet。“很多這樣的設備都可以在家里進行升級，”Boyce說。“很多時候，甚至是在國外。”

同樣，DENIM GROUP的首席技術官DAN CORNELL表示，當員工和高管作為一個團隊或個人與語音激活的虛擬助理等技術進行互動時，數據保密性和隱私也可能會成為重要問題。

在會議室或執行辦公室發生的對話可能涉及被發送到設備制造商云端的特權和受保護的信息，Cornell說。諸如機密數據是存儲在本地還是存儲在云中、數據的傳輸位置以及可追蹤性等因素，對于理解和減輕威脅都是至關重要的，他說。

通過物聯網系統安全的發送數據則是另一個挑戰，因為很大一部分流量沒有加密。組織也可能會低估在沒有正式的威脅建模的情況下圍繞設備識別與認證、供應與維護的風險，Cornell說。

這些問題在運營技術和工業環境中的后果遠遠大于在IT網絡中的后果。對物聯網漏洞的攻擊或由這些環境中的弱點導致的安全故障可能會導致物理損害和與安全相關的后果。

越來越多的組織正在將智能設備與新舊工業控制系統(ICS)和其他運營技術相連接。關鍵的運營系統和網絡曾經被安全地從外部世界空投出去，而現在則開放了互聯網接入，因此更容易受到攻擊。在運營系統很少擴展到操作環境之外的地方，業務用戶、供應商和其他人現在都將可以訪問它們了。

風險增加的還有第三方制造商，他們將新的訪問功能放入了關鍵的工業控制系統，然后將其進行鎖定，這樣其他人就無法更新它們了。但埃森哲的Boyce表示，這使得許多組織處于了這樣一種境地，即第三方將與運營環境有著直接和永久的聯系。

你對物聯網網絡的可見性有多高?

可見性是理解和建模物聯網環境威脅的關鍵，Cornell說。為了降低物聯網的風險，你需要了解你的資產，并以系統和有計劃的方式識別與它們相關的威脅。這涉及到需要識別某種特定物聯網資產可能成為安全負債的所有的不同方式，然后應用某種措施來降低發生這種情況的可能性，他說。這些措施可以包括刪除或禁用有風險的特性、部署操作控制或以不同的方式來實現技術。

在建立威脅模型時，不要孤立地看待物聯網設備，尤其是在工業和運營環境下，德勤風險與財務咨詢公司的網絡主管Mark Nicholson說。在評估與物聯網相關的威脅時，組織需要考慮這些設備可能存在的更廣泛的生態系統。這意味著要去研究這些設備將如何相互連接，如何與其他設備、服務器和主機相連接，他說。“如果你只關注設備的安全性，而不了解設備如何與環境和數據的其他部分進行交互，你可能也會漏掉一些信息，”他說。

獲得進行威脅建模所需的可見性是很困難的。物聯網設備的多樣性、缺乏標準架構以及同一類型設備之間安全特性的不一致，都給威脅建模帶來了挑戰。“物聯網設備和系統有著各種各樣的風格，并不是所有的設計或建造都具有同等程度的網絡安全健壯性，”Booz Allen Hamilton公司的Miller說。許多物聯網設備使用的是簡化的、實時的或遺留的操作系統和軟件框架，這些操作系統和軟件框架不支持與傳統IT系統相同的安全保護級別。由于這些原因，在企業環境中實現物聯網系統的可見性將變得更具挑戰性，他說。

“大多數公司應該采取的第一步是準確了解物聯網設備在其網絡中已經部署的情況，”Miller說。“這往往是我們客戶最大的盲點之一，因為它涉及到資產庫存。”

組織可以使用多種的主動和被動網絡和無線發現工具來幫助發現物聯網資產，Miller說。一旦一個組織了解了他們的物聯網資產，他們就可以開始實施安全控制了，如網絡隔離和威脅監控，以幫助保護他們。

在采購過程中如何審查設備安全性?

Denim Group的Cornell表示，對于未來的部署，最好是從采購開始。采購物聯網設備的企業能夠要求供應商在其設備中實施必要的安全功能。采購過程是進行威脅建模和評估的好時機，可以用來識別計劃中的物聯網部署的潛在風險和漏洞，他說。“在完成采購流程之前，你會有更大的影響力來影響供應商的行為，”而不是在此之后。

如果你計劃使用的物聯網設備是面向消費者的，那么供應商就不太可能有銷售渠道來向企業銷售或支持企業級的安全需求。因此，企業需要謹慎地對待設備的來源，Cornell說。

為了充分了解合同中的風險并建立防范措施，物聯網采購需要與安全組織合作進行。要獲得物聯網環境中所有組件的全面材料清單和審計權，德勤的Nicholson說。組織需要了解這些組件來自哪里，以及他們可能打算使用的任何物聯網軟件的出處。

如果第三方將管理你的物聯網設備，特別是工業和OT網絡中的設備，那么合同也需要討論供應商或承包商對任何安全事故的責任，Boyce補充說。“我還建議對物理設備本身進行安全審查，”以確保它能夠滿足安全要求，他說。

IT和OT如何就物聯網安全進行溝通?

降低物聯網風險最關鍵的一步是讓IT安全組織也參與進來，安全分析師表示。通常，那些正在增加物聯網足跡的組織，特別是在工業方面的，幾乎沒有意識到潛在的安全影響。

雖然一些組織已經開始在他們的ICS環境中構建安全功能了，但是在許多情況下，OT和IT端還是很少互相通信，Boyce說。盡管存在巨大的安全隱患，但這兩個組織之間很少進行協調。OT組常常擔心IT安全團隊會在沒有完全了解其潛在影響的情況下在環境中引入控制。

“你不能再單獨的經營這些組織了，”Boyce說。“必須有持續的交叉教育。”