曾經在物聯網世界，一切都變得更加龐大。不僅是設備本身——有些小到只容納幾個芯片，他們通常隱藏其中，眼不見心不煩。但物聯網中龐大的數據和設備規模令任何網絡安全專業人士都感到頭疼。

據廣泛統計，目前的物聯網數據產量為每天2.5萬億字節，在未來兩年內，物聯網包含多達300億臺設備，這一數字還將繼續增長。數字風險分析主管TroyLaHuis表示：“隨著如此多的設備問世，物聯網對每個人來說都是全新的，這對大多數企業來說都面臨困難。”

隨著規模的擴大，風險也在增加。下面來看看物聯網即將面臨的7個最重要的網絡安全威脅，以及網絡安全相關決策層如何應對挑戰。

1. 潛在的隱患

許多物聯網設備都是為特定任務而設計的，比如感知溫度或記錄運動。但它們運行在微控制器和操作系統上，能夠在后臺做更多的事情。這對攻擊者來說是一個巨大的機會，對企業和經營者來說也是一個重大的風險。

LaHuis建議信息安全經理參與公司的物聯網采購過程，就像參與任何其他技術收購一樣。無論是服務器、儲物架，還是航拍無人機和智能照明裝置，“你總不會在一切都確定下來并購買之后出現問題再讓IS團隊進入吧。”

2. 被遺忘的設備

許多物聯網設備被設計成既看不見也聽不見，只靠電源或一個硬幣電池就能運行數年。它們可以嵌在墻壁和天花板上，也可以安裝在工廠設備上，正常情況下，維修工人無法進入這些設備。

雖然它們這樣使用起來非常方便——可靠且維護成本低。但對于IT資產和網絡安全管理來說，這是一個真正的問題。“最大的失誤之一就是人們忘記了他們的存在。”LaHuis說。

要解決這一問題，需要建立并強制執行與數據中心服務器和筆記本電腦等IT設備相同的嚴格替換和更新周期。由于這么多的物聯網設備可能被隱藏多年，這就需要更詳細的更換計劃文檔，以便IT團隊能夠在更新或替換這些設備時找到這些設備。

3. 識別物聯網攻擊目標

物聯網安全的防御方法可以從一些早期的物聯網暴露和攻擊中獲得線索。智能攝像頭和支付卡讀卡器被攻擊和竊取，將數據傳遞給未經授權的用戶。最近，嵌入式系統成為勒索軟件攻擊的目標，勒索軟件要求支付賠償而不是關閉關鍵系統。但是，隨著物聯網設備種類的不斷增加，攻擊者可能更感興趣的是寫數據，而不是讀取數據。

例如，一家配備物聯網管理設備的工廠可能有數百個傳感器，可以讀取傳送帶上的當前供應水平，或測量管道中的流體壓力。對于攻擊者來說，僅僅閱讀這些信息的價值相對較小。但是，如果破壞者能夠植入虛假記錄，就可能通過偽造數據造成生產中斷，這些數據會使裝配線浪費太多的組件，或者出現不符合額定負載的組件。國家標準與技術研究所(NIST)白皮書聲明：“攻擊者讀取物聯網設備中存儲或傳輸的數據，可能不會獲得任何優勢或價值，然而攻擊者一旦篡改數據，則會引發一系列事故。”

了解攻擊者可能從未經授權的設備中訪問什么是設計保護的重要第一步。

4. 平衡安全性和用戶期望

物聯網設備通常被期望像家電一樣運行：穩定、可靠、全天候可用。它們不希望定期停機進行維護。NIST指出：“物聯網設備對性能、可靠性、彈性和安全性的操作要求可能與傳統IT設備的網絡安全實踐相沖突。”

奇怪的是，用戶不會接受或理解物聯網設備經過15分鐘安全補丁的休眠，而他們會接受智能手機或筆記本電腦的這種行為。使用冗余備份設備、有計劃的維護以及相關的教育活動來解決這個問題，使用戶的期望與安全需求保持一致。

5. 不負責任的供應商

物聯網設備的設計初衷是為了方便，但這種方便也帶來了風險。物聯網良好的網絡安全始于確保默認的管理員或超級用戶能夠立即更改或禁用。阻斷和禁用通用即插即用(UPnP)功能，以及關閉經常用于物聯網攻擊的非必要網絡端口，這都是值得采取的預防措施。

如果供應商做不到呢?不部署。這些設備并不總是天生安全的。有些不允許你更改用戶名和密碼。一些最大的漏洞來自供應商。

6. 內部風險

LaHuis指出，內部風險往往比外部實體構成更大的威脅。這種內部風險可能是雇員出于自己的目的故意顛覆設備，或者通過網絡釣魚或其他社會途徑被攻擊者操縱。“物聯網帶來了這個問題的新形態——員工成為你的最后防線。”他說。“我們真的必須加強對該設備的使用權以及他們能用它做什么的關注。”

一般的網絡釣魚教育，往往側重于避免電子郵件和社交媒體詐騙，可能是不夠的。攻擊者可能會試圖哄騙員工重啟或調整設備，如果員工在該設備工作，他可能會認為這是一個合理的要求。所以員工應該得到明確的指示，明確誰能授權與物聯網設備進行交互，以及在沒有IT監管的情況下，遇到什么情況可以對設備進行任何調整。

7. 保衛廢棄設備

未打補丁、被遺棄或被遺忘的物聯網設備的問題變得如此嚴重，黑客活動分子實際上用惡意軟件感染了未受保護的設備。一些攻擊者利用未修補的漏洞強行進入，借用修補漏洞關閉網絡端口，以防止其他軟件進入。物聯網保衛戰略應明確意識到這一風險，了解這些“灰帽黑客”的活動，并在他們能夠采取行動之前采取行動。