隨著5G、人工智能、區(qū)塊鏈等新興技術的快速發(fā)展和逐步應用，以及智慧城市、智能家居、工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)等新應用的快速落地，物聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)進一步深度融合，正進入“跨界融合、集成創(chuàng)新、規(guī)模化發(fā)展”新階段。根據(jù)Business Insider Intelligence的研究，到2027年，物聯(lián)網(wǎng)設備將超過410億臺，是去年這一數(shù)字（80億臺）的五倍之多。這些連接到網(wǎng)絡上的IoT設備，可能會成為一種網(wǎng)絡上非常容易被黑客攻陷的最薄弱環(huán)節(jié)。

全球網(wǎng)絡安全領導企業(yè)Palo Alto Networks（派拓網(wǎng)絡）近期委托Vanson Bourne技術研究公司進行了一項有關保護物聯(lián)網(wǎng)IoT安全實踐的最新調(diào)查，共調(diào)查了包括中國在內(nèi)的亞洲、歐洲、中東和北美14個國家的1350名企業(yè)IT決策者。并在日前舉辦在線媒體交流活動深入解讀此次調(diào)查結果。

物聯(lián)網(wǎng)設備的總體安全狀況正在下滑

派拓網(wǎng)絡大中華區(qū)總裁 陳文俊（Adrian Chan）

派拓網(wǎng)絡大中華區(qū)總裁陳文俊先生介紹，派拓網(wǎng)絡威脅情報團隊Unit 42曾于今年3月發(fā)布《2020年Unit 42物聯(lián)網(wǎng)威脅報告》。結果發(fā)現(xiàn)，物聯(lián)網(wǎng)設備的總體安全狀況正在下滑，企業(yè)容易受到針對物聯(lián)網(wǎng)的新型惡意軟件以及早已被IT團隊遺忘的老舊技術的攻擊。諸如“欺詐者如何通過黑入物聯(lián)網(wǎng)攝像頭來播放假視頻來掩蓋其犯罪行為”，“黑客組織利用物聯(lián)網(wǎng)設備漏洞攻擊企業(yè)網(wǎng)絡”，以及“物聯(lián)網(wǎng)智能鎖未打補丁的缺陷讓家庭面臨危險”的報道更是屢見不鮮。報告中提到的針對物聯(lián)網(wǎng)設備的主要威脅包括：利用設備漏洞的攻擊高達41％，其次是惡意軟件33%，利用用戶使用習慣進行攻擊，如加密劫持、網(wǎng)絡釣魚及用戶密碼等則達到26%。

Unit 42物聯(lián)網(wǎng)威脅報告：物聯(lián)網(wǎng)設備的主要威脅

今年以來，隨著新冠疫情的發(fā)生，遠程辦公正在成為一種新的趨勢，員工無意中帶入企業(yè)網(wǎng)絡的設備往往沒有考慮到安全問題，并且可能成為訪問公司重要信息和系統(tǒng)的便捷通道。為了應對新的威脅，安全團隊更加需要及時發(fā)現(xiàn)這些新設備、評估風險、確定正常行為，并快速應用安全策略。

聯(lián)網(wǎng)運動設備、桌面玩具和醫(yī)療可穿戴設備正在成為安全團隊的新挑戰(zhàn)

派拓網(wǎng)絡副總裁兼亞太及日本區(qū)首席安全官 Sean Duca

派拓網(wǎng)絡副總裁兼亞太及日本區(qū)首席安全官Sean Duca發(fā)布本次調(diào)查報告稱，越來越多種類的IoT設備連接到網(wǎng)絡，這其中包括一些聯(lián)網(wǎng)的玩具，家用的小電器，醫(yī)療可穿戴設備，甚至到電動汽車等。這些設備已經(jīng)滲透到我們的日常生活。一方面它們會很快速地聯(lián)到網(wǎng)上，另一方面，它們在出廠的時候，并沒有太多安全管理的機制，所以它們很容易成為網(wǎng)絡上安全漏洞爆發(fā)的最薄弱環(huán)節(jié)。Unit 42在3月份的報告中指出，57%的物聯(lián)網(wǎng)設備容易受到中到高等程度的攻擊，這使得它們成為攻擊者的首選目標。

而本次調(diào)查的大部分受訪者也表示，他們對于聯(lián)到企業(yè)網(wǎng)絡上的物聯(lián)網(wǎng)是有一定可視性的，但是卻沒有太好的辦法或者是措施來解決。

網(wǎng)絡分段是最關鍵的物聯(lián)網(wǎng)安全防范措施

在安全措施方面，最首要最關鍵的措施就是網(wǎng)絡的分段，這直接決定了哪些設備可以直接聯(lián)到哪些網(wǎng)絡上，哪些設備不能訪問網(wǎng)絡上相關的網(wǎng)絡分段。網(wǎng)絡分段是對整個物聯(lián)網(wǎng)設備接到網(wǎng)絡以后，訪問權限和獲得的安全級別最基本的一項安全管理措施。Sean Duca表示，“當涉及到物聯(lián)網(wǎng)設備時，我們需要采取零信任方案，這應該是每個公司物聯(lián)網(wǎng)戰(zhàn)略的核心。這意味著要定義每個聯(lián)網(wǎng)設備和物體的用途，并設置邊界，使其只能連接到有助于實現(xiàn)該用途的部分網(wǎng)絡。”而在這個方面，24%的受訪者表示，他們企業(yè)中的物聯(lián)網(wǎng)設備還沒有進行相關的網(wǎng)絡分段。

在日本及亞太地區(qū)，將近1/3的受訪者表示，他們還沒有開啟任何物聯(lián)網(wǎng)方面的安全規(guī)劃，或者是相關的進程，或者說也沒有進行必要的網(wǎng)絡分段的劃分。

在擁有1000名以上員工的中國企業(yè)中，近半數(shù)（42%）的受訪者表示，他們要么還沒有開啟物聯(lián)網(wǎng)安全旅程，要么還沒有為物聯(lián)網(wǎng)設備劃分單獨的網(wǎng)絡——這是構建安全、智能網(wǎng)絡的基礎。實際上，目前只有26%的受訪者表示，他們遵循了使用微分段的最佳實踐，將物聯(lián)網(wǎng)設備嚴格控制在安全區(qū)域之內(nèi)。

Sean最后表示，“員工無意中將設備連接到企業(yè)網(wǎng)絡，卻沒有意識到，這些設備在設計時往往沒有內(nèi)置安全功能，從而可能為網(wǎng)絡犯罪分子入侵系統(tǒng)創(chuàng)造機會。企業(yè)需要意識到，物聯(lián)網(wǎng)安全策略與其他發(fā)展計劃同樣重要，因為風險往往同樣，甚至更加昂貴。”