隨著5G、人工智能、區(qū)塊鏈等新興技術(shù)的快速發(fā)展和逐步應(yīng)用，以及智慧城市、智能家居、工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)等新應(yīng)用的快速落地，物聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)進(jìn)一步深度融合，正進(jìn)入“跨界融合、集成創(chuàng)新、規(guī)?；l(fā)展”新階段。根據(jù)Business Insider Intelligence的研究，到2027年，物聯(lián)網(wǎng)設(shè)備將超過410億臺(tái)，是去年這一數(shù)字（80億臺(tái)）的五倍之多。這些連接到網(wǎng)絡(luò)上的IoT設(shè)備，可能會(huì)成為一種網(wǎng)絡(luò)上非常容易被黑客攻陷的最薄弱環(huán)節(jié)。

全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)企業(yè)Palo Alto Networks（派拓網(wǎng)絡(luò)）近期委托Vanson Bourne技術(shù)研究公司進(jìn)行了一項(xiàng)有關(guān)保護(hù)物聯(lián)網(wǎng)IoT安全實(shí)踐的最新調(diào)查，共調(diào)查了包括中國(guó)在內(nèi)的亞洲、歐洲、中東和北美14個(gè)國(guó)家的1350名企業(yè)IT決策者。并在日前舉辦在線媒體交流活動(dòng)深入解讀此次調(diào)查結(jié)果。

物聯(lián)網(wǎng)設(shè)備的總體安全狀況正在下滑

派拓網(wǎng)絡(luò)大中華區(qū)總裁 陳文俊（Adrian Chan）

派拓網(wǎng)絡(luò)大中華區(qū)總裁陳文俊先生介紹，派拓網(wǎng)絡(luò)威脅情報(bào)團(tuán)隊(duì)Unit 42曾于今年3月發(fā)布《2020年Unit 42物聯(lián)網(wǎng)威脅報(bào)告》。結(jié)果發(fā)現(xiàn)，物聯(lián)網(wǎng)設(shè)備的總體安全狀況正在下滑，企業(yè)容易受到針對(duì)物聯(lián)網(wǎng)的新型惡意軟件以及早已被IT團(tuán)隊(duì)遺忘的老舊技術(shù)的攻擊。諸如“欺詐者如何通過黑入物聯(lián)網(wǎng)攝像頭來播放假視頻來掩蓋其犯罪行為”，“黑客組織利用物聯(lián)網(wǎng)設(shè)備漏洞攻擊企業(yè)網(wǎng)絡(luò)”，以及“物聯(lián)網(wǎng)智能鎖未打補(bǔ)丁的缺陷讓家庭面臨危險(xiǎn)”的報(bào)道更是屢見不鮮。報(bào)告中提到的針對(duì)物聯(lián)網(wǎng)設(shè)備的主要威脅包括：利用設(shè)備漏洞的攻擊高達(dá)41％，其次是惡意軟件33%，利用用戶使用習(xí)慣進(jìn)行攻擊，如加密劫持、網(wǎng)絡(luò)釣魚及用戶密碼等則達(dá)到26%。

Unit 42物聯(lián)網(wǎng)威脅報(bào)告：物聯(lián)網(wǎng)設(shè)備的主要威脅

今年以來，隨著新冠疫情的發(fā)生，遠(yuǎn)程辦公正在成為一種新的趨勢(shì)，員工無(wú)意中帶入企業(yè)網(wǎng)絡(luò)的設(shè)備往往沒有考慮到安全問題，并且可能成為訪問公司重要信息和系統(tǒng)的便捷通道。為了應(yīng)對(duì)新的威脅，安全團(tuán)隊(duì)更加需要及時(shí)發(fā)現(xiàn)這些新設(shè)備、評(píng)估風(fēng)險(xiǎn)、確定正常行為，并快速應(yīng)用安全策略。

聯(lián)網(wǎng)運(yùn)動(dòng)設(shè)備、桌面玩具和醫(yī)療可穿戴設(shè)備正在成為安全團(tuán)隊(duì)的新挑戰(zhàn)

派拓網(wǎng)絡(luò)副總裁兼亞太及日本區(qū)首席安全官 Sean Duca

派拓網(wǎng)絡(luò)副總裁兼亞太及日本區(qū)首席安全官Sean Duca發(fā)布本次調(diào)查報(bào)告稱，越來越多種類的IoT設(shè)備連接到網(wǎng)絡(luò)，這其中包括一些聯(lián)網(wǎng)的玩具，家用的小電器，醫(yī)療可穿戴設(shè)備，甚至到電動(dòng)汽車等。這些設(shè)備已經(jīng)滲透到我們的日常生活。一方面它們會(huì)很快速地聯(lián)到網(wǎng)上，另一方面，它們?cè)诔鰪S的時(shí)候，并沒有太多安全管理的機(jī)制，所以它們很容易成為網(wǎng)絡(luò)上安全漏洞爆發(fā)的最薄弱環(huán)節(jié)。Unit 42在3月份的報(bào)告中指出，57%的物聯(lián)網(wǎng)設(shè)備容易受到中到高等程度的攻擊，這使得它們成為攻擊者的首選目標(biāo)。

而本次調(diào)查的大部分受訪者也表示，他們對(duì)于聯(lián)到企業(yè)網(wǎng)絡(luò)上的物聯(lián)網(wǎng)是有一定可視性的，但是卻沒有太好的辦法或者是措施來解決。

網(wǎng)絡(luò)分段是最關(guān)鍵的物聯(lián)網(wǎng)安全防范措施

在安全措施方面，最首要最關(guān)鍵的措施就是網(wǎng)絡(luò)的分段，這直接決定了哪些設(shè)備可以直接聯(lián)到哪些網(wǎng)絡(luò)上，哪些設(shè)備不能訪問網(wǎng)絡(luò)上相關(guān)的網(wǎng)絡(luò)分段。網(wǎng)絡(luò)分段是對(duì)整個(gè)物聯(lián)網(wǎng)設(shè)備接到網(wǎng)絡(luò)以后，訪問權(quán)限和獲得的安全級(jí)別最基本的一項(xiàng)安全管理措施。Sean Duca表示，“當(dāng)涉及到物聯(lián)網(wǎng)設(shè)備時(shí)，我們需要采取零信任方案，這應(yīng)該是每個(gè)公司物聯(lián)網(wǎng)戰(zhàn)略的核心。這意味著要定義每個(gè)聯(lián)網(wǎng)設(shè)備和物體的用途，并設(shè)置邊界，使其只能連接到有助于實(shí)現(xiàn)該用途的部分網(wǎng)絡(luò)。”而在這個(gè)方面，24%的受訪者表示，他們企業(yè)中的物聯(lián)網(wǎng)設(shè)備還沒有進(jìn)行相關(guān)的網(wǎng)絡(luò)分段。

在日本及亞太地區(qū)，將近1/3的受訪者表示，他們還沒有開啟任何物聯(lián)網(wǎng)方面的安全規(guī)劃，或者是相關(guān)的進(jìn)程，或者說也沒有進(jìn)行必要的網(wǎng)絡(luò)分段的劃分。

在擁有1000名以上員工的中國(guó)企業(yè)中，近半數(shù)（42%）的受訪者表示，他們要么還沒有開啟物聯(lián)網(wǎng)安全旅程，要么還沒有為物聯(lián)網(wǎng)設(shè)備劃分單獨(dú)的網(wǎng)絡(luò)——這是構(gòu)建安全、智能網(wǎng)絡(luò)的基礎(chǔ)。實(shí)際上，目前只有26%的受訪者表示，他們遵循了使用微分段的最佳實(shí)踐，將物聯(lián)網(wǎng)設(shè)備嚴(yán)格控制在安全區(qū)域之內(nèi)。

Sean最后表示，“員工無(wú)意中將設(shè)備連接到企業(yè)網(wǎng)絡(luò)，卻沒有意識(shí)到，這些設(shè)備在設(shè)計(jì)時(shí)往往沒有內(nèi)置安全功能，從而可能為網(wǎng)絡(luò)犯罪分子入侵系統(tǒng)創(chuàng)造機(jī)會(huì)。企業(yè)需要意識(shí)到，物聯(lián)網(wǎng)安全策略與其他發(fā)展計(jì)劃同樣重要，因?yàn)轱L(fēng)險(xiǎn)往往同樣，甚至更加昂貴。”