信息化觀察網(wǎng)

盡管大流行導致物聯(lián)網(wǎng)支出有所放緩，但預計到2021年將恢復兩位數(shù)的增長率。作為數(shù)字化轉(zhuǎn)型的一部分，許多企業(yè)正在投資物聯(lián)網(wǎng)，利用物聯(lián)網(wǎng)技術(shù)來創(chuàng)造更個性化、更吸引人的用戶體驗，并提高生產(chǎn)力。

然而，對物聯(lián)網(wǎng)安全風險的擔憂仍然是許多企業(yè)的首要任務。根據(jù)最近的一項調(diào)查顯示，一半的參與組織表示，確保數(shù)據(jù)、網(wǎng)絡和設備安全是成功采用物聯(lián)網(wǎng)的最大挑戰(zhàn)。

有很多不同的方式來審視物聯(lián)網(wǎng)安全問題，例如，您可以查看最常見的攻擊類型，例如勒索軟件。或者，您可以關注如何更好地使用物聯(lián)網(wǎng)安全技術(shù)來保護您的企業(yè)和客戶。

在本文，我們將采用另一種方式。我們正在關注經(jīng)常被公司忽視的五個“小事情”，這些可能被忽視的小事情實際上是您需要關注的嚴重物聯(lián)網(wǎng)安全風險。

五個“小”物聯(lián)網(wǎng)安全風險比您想象的還要大

安全測試不充分

未能對您的物聯(lián)網(wǎng)設備、應用程序和網(wǎng)絡進行適當?shù)陌踩珳y試可能會造成嚴重后果。如果漏洞得不到解決，攻擊者很容易獲得對您的網(wǎng)絡和數(shù)據(jù)的訪問權(quán)限。

漏洞會導致巨額罰款，更不用說修復漏洞的相關成本了。額外的經(jīng)濟損失可能會影響您數(shù)年之久，因為您會失去大量客戶。漏洞實際上成為了您的“品牌”——當某人想到您公司時，首先想到的就是這件事。

確保您不會發(fā)生這種情況的最好方法是從一開始就專注于安全性。

物聯(lián)網(wǎng)安全必須是設計和開發(fā)過程中不可或缺的一部分。即使在部署之后，安全也必須保持優(yōu)先地位。物聯(lián)網(wǎng)設備、應用和網(wǎng)絡應在產(chǎn)品生命周期的所有階段進行安全漏洞測試。

確保物聯(lián)網(wǎng)安全測試的全面性，并解決所有級別的安全問題也很重要，其中包括：

▲硬件物聯(lián)網(wǎng)傳感器、邊緣設備、網(wǎng)關硬件、芯片、電路板

▲固件——軟件更新、密碼和密鑰存儲

▲網(wǎng)絡—無線通信技術(shù)、加密、身份認證

▲網(wǎng)絡應用程序——應用程序接口、身份驗證和消息管理

▲云托管——操作系統(tǒng)、網(wǎng)絡基礎設施

攻擊者只需要找到一扇門就可以進入您的網(wǎng)絡，不管有多小，例如，攻擊者通過魚缸進入賭場網(wǎng)絡。物聯(lián)網(wǎng)系統(tǒng)中的每一個部件和組件都很重要，值得進行全面徹底的安全測試，以確保一切不會受到攻擊。

不定期更新

在許多情況下，可以通過安裝簡單的更新或補丁來避免安全漏洞。

一項調(diào)查發(fā)現(xiàn)，有27％的組織報告說他們因未修補漏洞而遭到攻擊，這證明了許多個人和組織仍然沒有做好適當?shù)墓ぷ鱽砑皶r更新安全補丁。當涉及到單個物聯(lián)網(wǎng)設備時，尤其如此。

我們許多人在工作中使用個人設備，并將這些設備連接到公司網(wǎng)絡。如果我們不及時更新設備上的最新補丁，攻擊者就可以獲得機密信息。

對于較小的，看似微不足道的物聯(lián)網(wǎng)傳感器也是如此，這些傳感器可能在工廠車間或偏遠的農(nóng)業(yè)環(huán)境中收集數(shù)據(jù)。這些較小的物聯(lián)網(wǎng)系統(tǒng)組件在維護時應給予同等的“尊重”。

可用的修補程序和更新應盡快安裝，這是確保攻擊者無法通過一扇較小門進入大型網(wǎng)絡的最佳方法。

依賴默認密碼

雖然我們都知道應該更改物聯(lián)網(wǎng)設備上的默認密碼，但我們中的許多人并未在物聯(lián)網(wǎng)安全方面采取這一簡單（但很重要）步驟。Mirai僵尸網(wǎng)絡和Mirai的Satori變種就是攻擊者利用默認用戶名和密碼進行破壞的典型例子。

物聯(lián)網(wǎng)設備的開發(fā)人員可以幫助用戶免受默認密碼攻擊。最常見的方法是在制造過程中為每個設備生成唯一的用戶名和密碼組合。由于所有設備的用戶名和密碼不再相同，即使用戶不更改設備的默認登錄信息，也能得到更好的保護。

但是在安全性方面，組織不能依賴物聯(lián)網(wǎng)設備制造商。收到設備后，應立即更改默認登錄憑據(jù)。多因素身份驗證是提高物聯(lián)網(wǎng)安全性的最好方法，需要用戶采取多個步驟進行登錄。

數(shù)據(jù)加密不足

當然，連接到網(wǎng)絡的物聯(lián)網(wǎng)組件有可能會被打開或關閉。但是，通常情況下，在任何給定的時間，至少有一部分組件正在收集數(shù)據(jù)、存儲這些數(shù)據(jù)，并將所有或部分數(shù)據(jù)發(fā)送到云中進行處理和存儲。

在過去的幾年里，數(shù)據(jù)隱私已成為熱門話題，諸如通用數(shù)據(jù)保護法規(guī)（GDPR）、加利福尼亞在線隱私保護法（CalOPPA）和最新的加利福尼亞消費者隱私法（CCPA）等法規(guī)迫使許多公司采取額外措施來保護數(shù)據(jù)安全。（來源物聯(lián)之家網(wǎng)）其他規(guī)定，例如支付卡行業(yè)數(shù)據(jù)安全標準(PCI-DSS)和HIPAA，則要求公司在處理財務或個人機密信息時采取一定的預防措施。

在與客戶合作時，無論客戶是否受到某些法規(guī)的約束，我們始終高度重視數(shù)據(jù)隱私?？蛻粝Ｍ麄兊臄?shù)據(jù)是安全的。即使是看似微不足道的公司數(shù)據(jù)也有可能給競爭對手或黑客帶來可乘之機。

當涉及到保護物聯(lián)網(wǎng)數(shù)據(jù)時，物聯(lián)網(wǎng)系統(tǒng)中的所有數(shù)據(jù)都應該加密，無論是在靜態(tài)還是在傳輸過程中。與多因素身份驗證類似，加密會增加您的項目總成本，因為它需要更多的計算能力，但是，這絕對值得投資。

忽視遠程員工

長期以來，遠程工作一直在增加，并且在受大流行影響的世界中，遠程工作的數(shù)量創(chuàng)下了歷史紀錄。據(jù)預測，即使大流行平息下來，遠程工作的趨勢仍將繼續(xù)。

我們所有人都需要意識到遠程工作人員對安全的影響。自疫情爆發(fā)以來，攻擊企圖有所增加，包括黑客攻擊和數(shù)據(jù)泄露。

隨著越來越多的員工在家工作，您將需要重新評估遠程工作的策略，以確保設備安全，攻擊者無法訪問公司網(wǎng)絡。您可以采取以下幾個步驟來確保遠程工作環(huán)境不會使您的企業(yè)更容易受到攻擊：

▲員工應該清點家中的所有智能設備，包括其存儲的數(shù)據(jù)類型

▲在所有家庭智能設備上使用雙因素身份驗證

▲禁用設備上不必要的功能

▲執(zhí)行工作電話會議時，禁用虛擬助手設備上的麥克風和攝像頭

您需要向員工強調(diào)采取這些措施以確保公司網(wǎng)絡安全的重要性。網(wǎng)絡安全策略應概述物聯(lián)網(wǎng)安全的重要性以及每個員工必須采取的步驟。

遠程工作物聯(lián)網(wǎng)安全性的其他技巧包括：

▲確保員工只能通過安全連接訪問公司網(wǎng)絡。應始終使用虛擬專用網(wǎng)絡(VPN)來保護存儲在公司筆記本電腦和機器上的信息。

▲提示員工定期更改密碼，并創(chuàng)建強有力的唯一密碼。

▲利用加密軟件保護員工設備上的數(shù)據(jù)。

▲需要在所有用于遠程工作的員工設備上安裝最新的防火墻、防病毒軟件和反惡意軟件。

▲使公司能夠在設備丟失或被盜時遠程擦除設備上的數(shù)據(jù)。

忽視這些“較小”的物聯(lián)網(wǎng)安全問題可能很有誘惑力，但事實表明，它們會嚴重影響網(wǎng)絡和數(shù)據(jù)的安全性（以及聲譽）。我們強烈建議所有組織投入必要的時間和資源，以確保所有這些物聯(lián)網(wǎng)安全風險得到妥善解決，這樣您就可以確信貴公司正在盡一切可能防范物聯(lián)網(wǎng)攻擊。