你的鱼缸在听吗?一份让你涉足物联网领域的路线图

消费者、制造商和各种规模的企业现在都面临着物联网的危险。那些能让我们持续与个人数据和购物偏好保持联系，或简化我们日常生活方式的设备正变得越来越普遍。从门铃到洗碗机，所有东西都永远与互联网相连，并与基于云的服务器共享信息。作为企业采用物联网设备制造商为企业市场开发工具，从工程师到最终用户都有共同的责任来确保数据得到加强，以防止恶意攻击。

根据常见的漏洞和暴露在美国，2017年报告的物联网漏洞数量比2016年增加了近一倍，共计11,371个新类型。其中很大一部分针对的是基于网络的产品的漏洞，这些产品旨在简化和支持人类的日常功能。2017年，亚利桑那大学医学院(University of Arizona College of Medicine)的研究人员和医生也展示了与互联网相连的重要系统会造成人员伤亡吗。值得注意的是，任何连接到互联网的设备在没有适当措施的情况下都容易受到黑客攻击。胰岛素泵、起搏器、药物输注泵，甚至复杂的核磁共振成像设备都与互联网相连，并在这次演示中成为目标。

在企业内连接设备可能是不可避免的，但是它应该是有策略的和有意的。通过问这样一个问题，“这需要永远连接到云吗?”“组织可以确保连接的设备不太可能将明文访问凭证泄露给同一网络上的其他设备或服务器。通过用户教育和网络指导，用户只应在需要的基础上接入互联网。作为一种额外的措施，组织可以部署工具来监视、优先考虑和限制每个设备使用的网络资源，以防止网络性能问题。

因此，安全系统和智能照明正迅速被企业所采用。许多这样的系统都没有当前的制造商更新和固件补丁，这可能会绕过向系统添加新设备的协议，导致明文无线密码泄露。即使是像鱼缸这样无害的东西也能搞垮整个企业。听起来很牵强么?今年7月，Darktrace的研究人员透露了一家不知名的北美赌场成为黑客的牺牲品他瞄准了一个“聪明”的鱼缸。水箱与互联网相连，以监测和报告温度、照明和水的状况。在被赌场的网络安全团队发现并锁定之前，黑客利用这个接入点进入了网络中的其他系统，并将数据传输到一个离线设备上。

制造商和企业有责任为了确保从最终用户设备到其服务器的传输数据使用强加密方法(包括适用时的点对点加密)得到保护。事实上，一个可靠的缓解策略包括每次将新代码或硬件引入产品时进行定期渗透测试。第三方代码的补丁和更新也应该被密切监视和定期应用。最后，有一个可靠的漏洞报告和响应策略将确保如果报告了漏洞，也有一个明确的缓解或补救路径。

最终，物联网安全的海岸不结束与产品制造商。IT安全团队和最终用户有责任遵循安全指导方针，并坚持常规的补丁管理策略。对终端用户活动的持续警惕，定期系统扫描未识别的设备和固件的补丁管理是最优先考虑的。许多在物联网海洋上航行的组织需要接受增加用于加强安全举措的投资。如果你的公司的声誉取决于你确保客户个人数据和生计安全的能力，那么考虑聘请精通物联网基础设施指导的合格安全团队或顾问。

所有IoT Agenda网络贡献者都对其帖子的内容和准确性负责。意见是作者的，不一定传达物联网议程的想法。