物聯網安全問題：你準備好沒有？

物聯網時代已經來臨，你的安全計劃部署符合嗎？如果還沒有，現在是時候開始進行規劃了。

物聯網不僅僅是關於汽車、鐘錶和咖啡機，而是全新的聯網設備，這些設備直接和間接地影響著企業安全。最近企業的討論焦點一直圍繞着一般企業網路是否能夠處理物聯網的bandwidth要求，這是值得思考的問題，但相比而言，無可避免的安全問題似乎更為重要。

企業一直都十分艱難地保持傳統網絡系統的安全性，很多人不知道它系統的位置，特別是敏感性資料的位置。還有一些人則不清楚它安全狀態或者在特定時間網路在發生什麼。毫無疑問，由IT和安全人員組成的最大群體難以讓管理層和普通用戶群保持安全性。對於保護物聯網安全，這些問題變得更具挑戰性，我預計將會遇到前所未有的安全問題。

從進入資訊安全行業以來，我相信一個準則，如果系統有IP位址或者URL,並且它可以以任何方式接觸業務網路或處理敏感資訊的話，那麼它就可能成為攻擊目標。而且它也應該屬於現有安全管理計劃的範圍內。流動設備、即時通訊、社交媒體等同樣是如此，我們無法阻止物聯網的發展，它應該成為你需要討論安全的問題。

遵守遊戲規則

最小化資訊風險的核心原則之一是制定出一套規則，並遵守這些規則，即精心編寫的安全性原則。如果沒有定義適當的目標或期望，就會很混亂，就像我們在自攜設備（BYOD）趨勢中所看到的那樣。好消息是，保護物聯網安全或者保護你的企業免受它的影響，與保護網路的其他方面沒有太多不同。這是關於角度和重點的問題。對於企業中的物聯網，下面是你必須考慮的以安全原則為中心的問題：

1. 你現有的安全原則將發揮怎樣的作用？你不必從頭開始。圍繞密碼、漏洞修復和系統監控的現有政策可能就夠了。最重要的是確保物聯網在每個政策的範圍之內。
2. 是否需要新的安全原則？你可能會發現你需要圍繞Network Segmentation和Control Access的新（或更新的）政策，以確保這些設備的安全性，類似你處理無線接入點和互聯網訪客連接的方式。對此，一定要考慮物聯網對業務合作夥伴、供應商和客戶的影響，畢竟他們都有著與你的網路連接。另外，員工在家裡的每個物聯網設備會通過VPN為企業網路帶來什麼額外的風險呢？這都需要考慮。
3. 誰來確保你的政策是可執行的，並且實際得到執行或減低你的物聯網風險呢？管理層和用戶可能會對圍繞核心業務應用的政策再作考量，但他們如何去理解對看似無害且跟業務沒什麼關聯的設備保護政策呢？你需要能夠衡量這種風險，如通過風險分析並確定威脅能利用物聯網漏洞進行攻擊的機會有好大？以及這些威脅帶來的潛在影響。良好的BYOD安全計劃不僅能夠表明即將來到的事物；它必須為你的物聯網政策奠定基礎。
4. 誰來監控物聯網？在不久的將來，你可能會考慮增加網路中主機的數量。你是否需要額外的人手來確保一切正常進行？你的安全服務供應商能否容納這些系統？

我通常不會相信與新興IT範疇相關的推銷炒作，例如雲端運算和Big Data，但對於物聯網並不是這樣。該術語有些炒作成分，但其給企業帶來的影響是真的。據 Cisco 估計，到2020年物聯網將會增長到500億，這是相當大的數字，在某種程度上需要引起你的關注。這些設備可能會打開進入你網路的後門，它們可能會推動惡意程式的傳播，它們還可能儲存敏感的商業資料，它們可能導致Dos的情況。你的企業做好準備了嗎？你是否能夠從你目前正在處理的工作中抽出時間來應對這個入侵你網絡的新趨勢？

複雜性是實現有效安全性的最大障礙之一，而物聯網的安全問題無疑將倍數地加重這種複雜性，無論是在大型企業還是小型企業。你將需要比以往任何時候更好、更快和更便宜地實現安全性。現在是時候思考如何應對以及與你業務相關的物聯網趨勢。聘請合適的人員，至少應該從更新政策開始，列出你正在對這些聯網設備做什麼和沒有做什麼，允許和不允許什麼。政策並不是安全的靈丹妙藥。事實上，它們經常會製造安全和“合規”方面的錯覺，導致弊大於利。但你應該從政策開始，任何追求更好更安全的物聯網的積極行動都將於長遠時間為企業帶來回報。