借助物联网（IoT）人们不知道的内容可能会带来伤害。那么从哪里开始呢？

各种规模的组织都在迅速扩展其对物联网设备的使用，以实现广泛的业务收益：降低成本、改善运营、利用大数据分析。加速数字化转型，或者在大多数情况下，实现上述所有目标。

研究表明，仅去年一年，就有76亿台物联网设备。IDC公司预计，到2025年，这个数字将增长到416亿台。作为一名高管，再也不能忽略物联网。应该将其视为创新和颠覆的强大力量。

但是随着业务的增长，企业领导者还必须对风险保持警惕。如果物联网没有采取正确的步骤来建立正确的网络安全基础和框架，则物联网可能成为潜在的噩梦。

人们已经看到，如果没有适当的网络安全防护措施，物联网的扩展将具有多么潜在的危险。Palo Alto Networks公司的42号威胁情报小组在其2020年物联网威胁报告中警告说，由于其设备运行在过时的操作系统上，医疗保健行业处于至关重要的状态。研究还显示，数量惊人的物联网设备已被暴露和利用。更令人担忧的是，大多数（98％）的物联网设备流量是未加密的，而57％的物联网设备容易受到中度或高度攻击。

因此，组织的物联网和安全团队必须采取哪些基本步骤来确保组织可以从扩展的物联网使用中受益，同时降低网络安全风险？

重要的是要认识到，使安全团队的工作复杂化是许多组织中业务部门在首席信息安全官甚至首席信息官主持下使用物联网设备的方式。现在，任何业务部门都可以购买物联网设备，而且这种情况不太可能停止。物联网可以采取的措施是应用整体物联网安全策略，该策略可以指导业务部门购买物联网设备，从而获得对这些设备的可见性并从一开始就保护它们。

 避开地雷

物联网安全的第一步听起来很简单，但实际上却很少。组织需要知道他们拥有什么类型的设备以及这些设备都位于何处。就像是被遗忘的地雷。据估计，目前世界各地有超过1.1亿枚地雷，许多地雷无法清除，这是因为没人知道它们在哪里。

人们不希望物联网设备成为数字未来的地雷。无论何时何地，只要组织需要访问物联网数据和应用程序，组织就必须利用能够识别和说明它们的技术，这一点至关重要。

根据Palo Alto Networks最近发布的《互联企业：2020年物联网安全报告》，IT决策者绝大多数报告说，在过去一年中，连接到其网络的物联网设备数量有所增加，其中三分之一以上（35％）报告说：显着增加。

当然，物联网安全性不仅限于查看和定位数十亿台物联网设备。这也与在整个设备生命周期内管理这些设备有关。例如，回答关键问题，例如：

•随着技术的发展以及网络犯罪分子发现突破现有安全屏障的新方法，我们如何确保可以使用当前的安全补丁、操作系统和其他保护来更新设备？

•如何在可能将密码编码到硬件中的设备上更改密码？

•如何实时跟踪设备使用情况以监控安全风险，并确保组织符合全球不断变化的法规要求？

•当设备被更换或超过其使用期限时，如何确保可以关闭设备并报废？

这些不是闲着的问题，而是企业领导者需要了解的真实问题，并且可以放心他们的安全团队正在解决。随着全球设备数量从140亿台增加到200亿台，在整个生命周期中，物联网设备的识别，管理和保护将变得更加复杂。

 有用的参数

幸运的是，可以提供缓解物联网网络安全风险的帮助。美国国家标准技术研究院正在为物联网设备制造商起草准则，以使其产品更安全，并且已经发布了一套自愿推荐的网络安全功能，以包括在具有网络功能的设备中。

新技术平台可帮助识别物联网设备并在其整个生命周期内对其进行管理。此外，开放式Web应用程序安全项目（OWASP）在帮助网络安全领导者识别IoT设备最常见的漏洞方面发挥了领导作用。他们的名单为网络安全专业人员提供了指南，也为企业领导者提供了坚实的基础，可以向其网络安全团队提出正确的问题。

最新的开放式Web应用程序安全项目（OWASP）的物联网漏洞“十大”列表是：

•密码薄弱，可猜测或硬编码

•不安全的网络服务

•生态系统接口不安全

•缺乏安全的更新机制

•使用不安全或过时的组件

•隐私保护不足

•不安全的数据传输和存储

•缺乏设备管理

•不安全的默认设置

•缺乏物理硬化

无论是在零售、金融还是技术等领域，任何组织都无法幸免于物联网安全挑战。业务领导者提出正确的问题很重要。他们的组织在哪里？如果他们不了解自己，该是时候开始询问他们的网络安全主管了。如果他们不知道，那么企业领导者就应该坚持认为其技术团队对物联网安全性非常了解，并支持他们保护物联网设备。就数量和种类而言，围绕物联网安全性的挑战正在迅速增长。未来没有人等待，没有比现在更好的时机来掌控。