請及時做好IoT設(shè)備安全防備

張帥

今年年初，派拓網(wǎng)絡(luò)對135000個安全攝像頭進行了檢查，他們發(fā)現(xiàn)54%的攝像頭至少有1個安全漏洞，黑客利用這些漏洞可以完全控制、操控這些攝像頭，從而成為跳板，進入企業(yè)的網(wǎng)絡(luò)里，進而發(fā)動網(wǎng)絡(luò)攻擊。

Palo Alto Networks（派拓網(wǎng)絡(luò)）大中華區(qū)總裁陳文俊說道：“從疫情開始，分布式辦公日漸普遍，員工遠程辦公給企業(yè)帶來的安全挑戰(zhàn)，可以總結(jié)為沒有托管的安全服務(wù)的家庭網(wǎng)絡(luò)、缺乏網(wǎng)絡(luò)分段以及缺乏網(wǎng)絡(luò)的可視性三個層面。”

陳文俊認為這些問題使企業(yè)的核心數(shù)據(jù)和應(yīng)用會面臨著安全威脅和風(fēng)險，企業(yè)需要創(chuàng)新的安全保護方式，來應(yīng)對分布式辦公所帶來的安全挑戰(zhàn)。

分布式辦公的安全問題，事實上也映射出了多級互聯(lián)網(wǎng)的安全防護問題。因為現(xiàn)今的互聯(lián)網(wǎng)，都是大量的基本交換模塊按照特定的拓撲結(jié)構(gòu)相互連接構(gòu)成，其形成的信元交換往往是黑客入侵的“焦點”。所以以互聯(lián)網(wǎng)基礎(chǔ)延伸和擴展的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全，成了當(dāng)下的個人用戶及企業(yè)著重面臨的問題。

要知道，一般物聯(lián)網(wǎng)受到攻擊方式常有信息泄露、破壞完整信息、竊聽、監(jiān)視等風(fēng)險。今年3月，一群黑客盜取了 150，000 個 Verkada 智能安全攝像頭的訪問權(quán)限，其產(chǎn)品覆蓋了醫(yī)院、公司、警察部門、監(jiān)獄和學(xué)校。結(jié)果，犯罪分子能夠看到來自婦女健康診所、精神病院、特斯拉公司和 Verkada 辦公室本身的視頻。

今年，派拓網(wǎng)絡(luò)針對IoT行業(yè)安全進行了調(diào)查，通過委托的第三方公司，進行了全球1900個企業(yè)，涉及18個國家。“這次受訪的IT決策者都是各家公司和企業(yè)IT的副總裁，或者是CIO、CISO，同時包含了一些IT的主管理和經(jīng)理部門。”Palo Alto Networks（派拓網(wǎng)絡(luò)）中國區(qū)大客戶技術(shù)總監(jiān)張晨提到了本次調(diào)查的一些主要結(jié)果：“日本及亞太地區(qū)對于物聯(lián)網(wǎng)設(shè)備安全管理的手段上和方法上，有很大的提升空間；有18%的受訪者表示，他們現(xiàn)在仍未將企業(yè)內(nèi)部的物聯(lián)網(wǎng)設(shè)備和其他的核心的關(guān)鍵業(yè)務(wù)設(shè)備和應(yīng)用分開?！?/p>

“其實，大家對IoT的應(yīng)用已十分的熟悉，比如智能燈泡、咖啡機以及醫(yī)療設(shè)備、汽車等都與IoT有著密切的聯(lián)系?！?陳文俊強調(diào)道：據(jù)報告顯示，2021年，全球IoT設(shè)備有差不多76億IoT設(shè)備產(chǎn)生，2025年，預(yù)計將會有近420億的IoT的設(shè)備出現(xiàn)。整個市場的覆蓋面即廣又全，用戶在生活中，很難不去接觸IoT的設(shè)備。

IoT設(shè)備的普及帶來了多方面的隱患，比如用戶缺乏其行為的追蹤能力、企業(yè)IT可能會跳過其安全管控和流程、IT人員也難以去管控統(tǒng)一的IoT設(shè)備。最為主要的是，IoT設(shè)備與網(wǎng)絡(luò)相連接，由于不加密的特性，很容易導(dǎo)致數(shù)據(jù)泄露的隱患。加上分布式辦公、員工遠程辦公成為了新的形態(tài)，家庭中的IoT環(huán)境，使得IT部門更難保證其是否會威脅到企業(yè)的隱私安全。

針對分布式辦公的常態(tài)，以及企業(yè)IT管理的原則，派拓網(wǎng)絡(luò)提出了幾點建議來幫助企業(yè)或個人用戶，提高警惕應(yīng)對聯(lián)網(wǎng)帶來的安全隱患。

張晨表示，居家辦公的員工需要長期堅持一些基本的實踐原則，首先，需要對家用WIFI的路由器要非常熟悉，比如她提到了WIFI口令的修改原則要熟悉、去提升更高等級的網(wǎng)絡(luò)加密協(xié)議。其次，要熟悉自家WIFI的連接設(shè)備有哪些，其中是否涉及到不熟悉的設(shè)備，對于不知道的，不熟悉的應(yīng)該主動把它斷掉，來進行這些雙因素的認證。最后，建議采用網(wǎng)絡(luò)分段，比如辦公工具，可以將其單獨規(guī)劃到一個網(wǎng)段，而家用的一些其它智能設(shè)備，則可以單獨放在另外的網(wǎng)段。

而針對企業(yè)來說，張晨建議到與個人家庭一樣，要了解到企業(yè)網(wǎng)會出現(xiàn)什么樣的設(shè)備，不同的是，清楚的知曉哪些是企業(yè)允許連上的設(shè)備，哪些是屬于私自連上來的，而這些設(shè)備又有哪些應(yīng)用權(quán)限，以及連接情況又是什么。其次從整個IT網(wǎng)絡(luò)的安全規(guī)劃來講，對于物聯(lián)網(wǎng)這一部分，企業(yè)要遵循零信任的原則。在張晨看來，因為物聯(lián)網(wǎng)的安全實際上是企業(yè)整個IT架構(gòu)中零信任不可缺失的一環(huán)，企業(yè)不應(yīng)該將其單獨“拎出”去考慮，而是應(yīng)該從IT決策者和規(guī)劃者的角度，把物聯(lián)網(wǎng)的安全納入到整個零信任的架構(gòu)中，然后對它來進行設(shè)置用戶訪問權(quán)限和實時流量安全檢查。

從設(shè)備應(yīng)用的角度，張晨給出了個人及企業(yè)的一些建議。而從派拓網(wǎng)絡(luò)技術(shù)的角度上來看，派拓網(wǎng)絡(luò)可以從兩大層面來幫助企業(yè)和個人用戶保護自身的物聯(lián)網(wǎng)設(shè)備：

一、派拓網(wǎng)絡(luò)將機器學(xué)習(xí)和人工智能技術(shù)與APP-ID和Device-ID相結(jié)合，來幫助企業(yè)和個人去清晰了解IoT設(shè)備應(yīng)用的情況，比如其應(yīng)用協(xié)議和本身設(shè)備的端口號、版本號。

二、通過識別之后，派拓網(wǎng)絡(luò)可以提供全面的可視化，同時，也能夠?qū)@些設(shè)備在網(wǎng)絡(luò)上的行為，對其規(guī)劃一個正常的基線，并形成基線的模型。之后凡是超出這個基線模型之外的行為都會被視為可懷疑的行為，或者去不斷監(jiān)控其進行的狀態(tài)。

兩個月之前，派拓網(wǎng)絡(luò)推出了Okyo Garde？企業(yè)級家庭網(wǎng)絡(luò)的安全解決方案。該產(chǎn)品自身攜帶WIFI 6系統(tǒng)的功能，可以應(yīng)對企業(yè)員工新的混合工作環(huán)境。

Okyo Garde？有三個產(chǎn)品特性：一是通過設(shè)備，可以監(jiān)控家中的所有設(shè)備，比如公司網(wǎng)絡(luò)工具和家中的設(shè)備工具，同時可以做到網(wǎng)絡(luò)隔離的效果。二是通過安全策略及管控，可以把零信任從企業(yè)的內(nèi)部延伸到家庭中。三是如果家中受到攻擊，或是惡意軟件的勒索、釣魚，該設(shè)備能夠及時中斷鏈接。

陳文俊針對該產(chǎn)品介紹道：“目前，美國現(xiàn)在已經(jīng)開始在市場中投入了Okyo Garde？，預(yù)計在明年年初的話就會延伸到亞洲這邊來。Okyo Garde？將是派拓網(wǎng)絡(luò)全新的解決方案，來去應(yīng)對遠程辦公、分布式辦公的安全挑戰(zhàn)。另外，由于Okyo Garde？會與派拓網(wǎng)絡(luò)SASE解決方案完美結(jié)合，所以這也是把企業(yè)安全零信任的策略，從企業(yè)內(nèi)部延伸到家庭中的原因?！?/p>