隨著物聯(lián)網(wǎng)技術(shù)的普及，越來越多的個人和家用設備開始聯(lián)網(wǎng)，像智能燈泡、心率監(jiān)測儀、咖啡機，甚至寵物喂食器都出現(xiàn)在網(wǎng)絡設備的列表里，成為智能家具不可缺少的一部分?！叭f物互聯(lián)帶給人們極大方便的同時，其隱藏著的安全威脅也不可忽視，因為黑客只需透過小型的物聯(lián)網(wǎng)設備，就能找到企業(yè)網(wǎng)絡的入口，發(fā)起勒索軟件等攻擊行為?！比涨埃赑alo Alto Networks（派拓網(wǎng)絡）物聯(lián)網(wǎng)安全媒體溝通會上，派拓網(wǎng)絡大中華區(qū)總裁陳文俊先生如是說。

Palo Alto Networks（派拓網(wǎng)絡）大中華區(qū)總裁 陳文俊

Palo Alto Networks（派拓網(wǎng)絡）中國區(qū)大客戶技術(shù)總監(jiān) 張晨

Palo Alto Networks（派拓網(wǎng)絡）中國區(qū)大客戶技術(shù)總監(jiān)張晨女士分享了2021年派拓網(wǎng)絡對全球近2000家企業(yè)針對IoT安全的調(diào)研報告。根據(jù)該報告，八成以上的中國大陸受訪者表示，其所在企業(yè)的物聯(lián)網(wǎng)安全事故在這一年來有所增加，100%的中國大陸受訪者都認為其企業(yè)的物聯(lián)網(wǎng)安全保護方法需要改進，27%的受訪者則表示需要徹底改革。其中，對風險評估（70%）、提供給安全團隊的物聯(lián)網(wǎng)設備上下文（64%）、裝備可見性和庫存（62%）以及政策執(zhí)行和零信任控制（62%）等方面需求最大。

另外該報告還顯示，35%的中國大陸受訪者表示，其組織的物聯(lián)網(wǎng)設備連接的網(wǎng)絡與所屬企業(yè)主要設備及業(yè)務應用（如人力資源系統(tǒng)、電郵服務器、財務系統(tǒng)等）的網(wǎng)絡各自獨立運作。另有44%受訪者遵循了最佳實踐“網(wǎng)絡微分段”（Microsegmentation），在網(wǎng)絡中創(chuàng)建的嚴格控制之安全區(qū)域，以隔離物聯(lián)網(wǎng)設備并將它們與IT設備分開，防止黑客在網(wǎng)絡上橫向移動進行攻擊。

值得注意的是，根據(jù)報告，出現(xiàn)在企業(yè)網(wǎng)絡的物聯(lián)網(wǎng)設備，排名靠前的不乏一些智能家居設備，比如廚房小家電、監(jiān)控器等，另外聯(lián)網(wǎng)的攝像機和照相機、可穿戴的醫(yī)療設備，也出現(xiàn)在很多企業(yè)網(wǎng)絡中。

萬物互聯(lián)時代到來，安全問題凸顯

陳文俊表示，目前在整個互聯(lián)互通大背景的影響下，各個國家地區(qū)、各個企業(yè)和行業(yè)，采用物聯(lián)網(wǎng)已經(jīng)成為了企業(yè)推動業(yè)務發(fā)展的一個很關鍵的新興業(yè)態(tài)。數(shù)據(jù)顯示，僅在2021年，就有將近76億IoT設備連接到網(wǎng)絡，預計到2025年，大概會有接近420億的IoT設備出現(xiàn)。像智能燈泡、咖啡機、醫(yī)療穿戴設備，甚至電動車、自動駕駛的汽車，這些聯(lián)網(wǎng)的IoT設備，由于它們使用的芯片、操作系統(tǒng)往往沒有及時打補丁，而成為黑客攻擊的目標。

而在一個企業(yè)內(nèi)部網(wǎng)絡上，根據(jù)派拓網(wǎng)絡的調(diào)查，有30%是IoT設備，同時98%的IoT設備的流量是不加密的。如果一個設備受到感染，就很容易橫向擴展到相連的設備，同時也很容易進入到企業(yè)內(nèi)部網(wǎng)絡，影響企業(yè)核心數(shù)據(jù)與業(yè)務安全。

另外，自新冠疫情發(fā)生以來，分布式辦公或遠程辦公成為一個新常態(tài)。傳統(tǒng)的辦公室環(huán)境具有安全策略，所有的設備都是經(jīng)過認證后連接到企業(yè)內(nèi)部網(wǎng)絡，相對比較安全。但是員工居家辦公以后，家庭網(wǎng)絡與企業(yè)網(wǎng)絡其實存在于同一個環(huán)境中，家庭環(huán)境中同時有很多的IoT設備的存在，由于家庭網(wǎng)絡沒有托管安全服務，以及缺乏網(wǎng)絡分段與網(wǎng)絡可視性，所以很難保證整個網(wǎng)絡中物聯(lián)網(wǎng)設備的安全。

這就要求員工和雇主共同承擔保護網(wǎng)絡的責任，才能應對物聯(lián)網(wǎng)引發(fā)的安全挑戰(zhàn)。

“零信任”原則幫助企業(yè)防范物聯(lián)網(wǎng)威脅

企業(yè)和個人如何防范物聯(lián)網(wǎng)設備接入帶來的安全問題呢？ 首先對于居家辦公的員工來說，張晨建議，要熟悉你的路由器，通過修改原始口令，把相應網(wǎng)絡加密的協(xié)議提升到更高的等級來保護路由器安全；對聯(lián)網(wǎng)設備進行定期查看與跟蹤，了解有哪些設備連接到了家庭網(wǎng)絡；使用雙重驗證以及啟用安全更新，不管是家用電腦，還是可穿戴設備、智能家居設施，以及光纖路由器等，都要定期執(zhí)行安全更新。除此之外，建議將家庭網(wǎng)絡分段，即將辦公電腦單獨規(guī)劃到一個網(wǎng)段中，家用的一些其他智能家居設備單獨放在另外的網(wǎng)段。

對于企業(yè)來說，張晨建議，除了要全面了解與企業(yè)連接的所有物聯(lián)網(wǎng)設備，持續(xù)跟蹤已連接的設備外，對物聯(lián)網(wǎng)環(huán)境要遵循“零信任”原則。物聯(lián)網(wǎng)的安全實際上是整個IT架構(gòu)中零信任不可缺失的一環(huán)，應該從IT決策者和規(guī)劃者的角度，把物聯(lián)網(wǎng)安全納入到整個零信任的架構(gòu)中，同樣對它進行設備、用戶訪問權(quán)限和實時流量的安全檢查。

另外企業(yè)要利用有效的技術(shù)，對在物聯(lián)網(wǎng)設備上發(fā)現(xiàn)的安全漏洞、引起的安全攻擊進行及時阻止，要采取自動化、高效和智能的安全技術(shù)，對未知的安全威脅進行實時阻斷和快速響應。

派拓網(wǎng)絡通過兩種方式幫助保護物聯(lián)網(wǎng)設備

派拓網(wǎng)絡通過技術(shù)創(chuàng)新，可以從兩個大的層面上幫助企業(yè)和個人保護物聯(lián)網(wǎng)設備。

第一，將機器學習、人工智能技術(shù)與專利技術(shù)App-ID?和Device-ID?相結(jié)合，來更好地幫助企業(yè)和個人發(fā)現(xiàn)物聯(lián)網(wǎng)所要使用的應用，以及快速識別物聯(lián)網(wǎng)設備的標識，這樣能夠讓我們了解到聯(lián)網(wǎng)的物聯(lián)網(wǎng)設備，以及物聯(lián)網(wǎng)設備要用的應用協(xié)議和設備本身的端口號、版本號，實現(xiàn)對物聯(lián)網(wǎng)設備的清晰可見。

第二，為用戶物聯(lián)網(wǎng)、醫(yī)療物聯(lián)網(wǎng)和OT設備提供最準確和最深入的可見性，以有效地基線化它們的正常行為。建立基線模型，凡是超出這個模型之外的可疑狀態(tài)，進行重點監(jiān)控。該解決方案使安全團隊能夠主動預防威脅、監(jiān)控設備風險、檢測異常，進而不斷修正和強化安全實施策略。

最近，派拓網(wǎng)絡還推出了全新產(chǎn)品Okyo Garde?，這是一款通過高級聯(lián)網(wǎng)WiFi 6系統(tǒng)提供支持的企業(yè)級家庭網(wǎng)絡安全解決方案。Okyo Garde的設計旨在應對新混合工作環(huán)境，通過該產(chǎn)品，可以發(fā)現(xiàn)家庭里所有的聯(lián)網(wǎng)設備，包括公司用的設備和家庭用的設備，同時可以做網(wǎng)絡隔離。

同時Okyo Garde可以下載安全策略，有安全的管控，可以把“零信任”策略從企業(yè)內(nèi)部延伸到家庭網(wǎng)絡。另外也可以通過手機上的移動程序APP來管控這個設備，如果發(fā)現(xiàn)家庭網(wǎng)絡受到一些攻擊，或者是受到惡意軟件的勒索、釣魚，可以通過該設備把這個鏈接斷掉。