物聯(lián)網(wǎng)安全需要三個(gè)步驟來(lái)建立

    開(kāi)發(fā)和部署智能的安全架構應該著(zhù)重在三個(gè)步驟：了解、隔離和保護。保護物聯(lián)網(wǎng)必須先了解哪些設備可以信任和管理，哪些設備不可信任，不可信任的設備就不允許存取某些網(wǎng)絡(luò )分區。

 

    物聯(lián)網(wǎng)（IoT）是目前數字轉型（Digital Transformation）過(guò)程中最重要的技術(shù)之一，因為透過(guò)各種連接設備能夠收集前所未有的大量訊息，讓決策在擬定之前能有數據數據可以依循，藉此提升企業(yè)銷(xiāo)售成果和生活質(zhì)量。

 

    然而，在過(guò)去的12個(gè)月里，我們不斷地看到針對物聯(lián)網(wǎng)設備的網(wǎng)絡(luò )攻擊，而且頻率和復雜性持續增加。不幸的是，太多的物聯(lián)網(wǎng)設備從未有過(guò)嚴謹的安全性考慮。這些設備常常是無(wú)頭（Headless）式設備，功率和處理能力有限，這同時(shí)意味著(zhù)無(wú)法安裝安全的客戶(hù)端軟件，進(jìn)一步更新應用或修補漏洞。最近的研究顯示，大約70%的物聯(lián)網(wǎng)設備都非常容易受到網(wǎng)絡(luò )攻擊，這項結果一點(diǎn)也不奇怪。

 

    隨著(zhù)物聯(lián)網(wǎng)的普及，為安全官（CISO）帶來(lái)了壓力，包括其他的IT主管，他們都必須面對日益嚴峻的安全挑戰。每個(gè)安全官都有兩個(gè)目標：提高生產(chǎn)力，并且維護安全。那么要如何平衡業(yè)務(wù)需求和安全需求呢？現今大部分的安全系統都不足以獨立完成安全工作，必須有一個(gè)更大的安全架構，在其信任的框架上相互交織、彼此關(guān)聯(lián)、情資共享，并自動(dòng)化地防護和偵測設備和系統的異常行為；最重要的是：能自動(dòng)檢測、審查和允許連接到網(wǎng)絡(luò )的任何新用戶(hù)或設備，不管它實(shí)際的位置在何處。

 

 

    簡(jiǎn)單來(lái)說(shuō)，開(kāi)發(fā)和部署智能的安全架構應該著(zhù)重在三個(gè)步驟：了解、隔離和保護。保護物聯(lián)網(wǎng)必須先了解哪些設備可以信任和管理，哪些設備不可信任，不可信任的設備就不允許存取某些網(wǎng)絡(luò )分區。

 

    1. 了解。企業(yè)組織必須了解每個(gè)設備和網(wǎng)絡(luò )系統的功能和局限性。要做到這一點(diǎn)，安全解決方案要具備完整的網(wǎng)絡(luò )可視性（Visibility），來(lái)對所有物聯(lián)網(wǎng)設備進(jìn)行身份驗證和分類(lèi)。操作技術(shù)OT和工業(yè)控制系統ICS/SCADA的網(wǎng)絡(luò )和設備特別敏感，因為在某些情況下，甚至簡(jiǎn)單地掃描它們都會(huì )產(chǎn)生負面影響。因此，組織必須采用基于信任的安全防護框架，自動(dòng)實(shí)時(shí)辨識和分類(lèi)設備，建立風(fēng)險檔案，并將設備指定至物聯(lián)網(wǎng)設備群組，同時(shí)將適當的安全政策派送至安全設備和網(wǎng)段。

 

    2. 隔離。一旦建立完整的可視性和集中化管理，就可以透過(guò)智能化的自動(dòng)控制，將一些物聯(lián)網(wǎng)設備和通訊方案隔離在特定的安全網(wǎng)絡(luò )區段。這將能依據每個(gè)設備的風(fēng)險檔案，自動(dòng)賦予和執行基本的權限，而不會(huì )危及整個(gè)重要的網(wǎng)絡(luò )系統。

 

    3. 保護。最后則是結合物聯(lián)網(wǎng)設備組群和內網(wǎng)區段的安全政策，執行多層次的監控、檢查和安全政策，無(wú)論該活動(dòng)是發(fā)生在分布式企業(yè)架構的任何位置。

 

    傳統的單點(diǎn)防護產(chǎn)品和平臺，并不足以保護物聯(lián)網(wǎng)環(huán)境。企業(yè)必須建立一個(gè)基于信任框架上的安全架構，并能與物聯(lián)網(wǎng)和云端相互連結，才能自動(dòng)化調整和因應不斷演變的企業(yè)需求。