安全厂商RSA Security公司解决方案经理Arthur Fontaine对于企业可以用来管理物联网风险的步骤进行了阐述。

如今，物联网技术得到了更广泛的应用 ，而物联网设备的不断增长可能带来更多的漏洞。从健康和医疗传感器到工厂监控器，从跟踪系统到智能电网，现在全球有数十亿台物理设备连接到公共互联网。根据调研机构Gartner公司的预测，到2023年，平均每名首席信息官负责的端点数量将是2018年的三倍多。这种物联网（IoT）是许多数字化转型计划的核心组成部分，但与任何技术创新一样，在带来好处的同时也伴随着独特的数字风险。

在物联网中，连接的设备通常会产生大量的数据，这些数据将被组织的IT基础设施的其他各个领域使用、发送或存储。通过这种方式，它有效地在整个风险领域产生多米诺骨牌效应，包括网络安全、第三方风险、合规性和业务弹性。因此，物联网安全不只是“设备管理”的问题。无论是对新端点的发现、识别和分类的额外需求、进一步的合规性检查，还是身份验证的更新，企业都可能需要转变其安全方法，以有效地管理物联网风险。

以下是对物联网端到端安全至关重要的五个领域：

 1.可见性：无法保护看不到的内容

确保物联网部署安全的第一步是确保可以发现、识别和分类每个单独的端点。安全团队需要能够查看IP地址上存在哪些端点，然后检测有关设备的特定信息，例如设备的制造地、型号和序列号以及运行的固件版本。这可以通过像EdgeX Foundry这样的现代边缘平台来实现，EdgeX Foundry是一个由Linux基金会托管的开源项目。通过将这些元数据与已知的漏洞信息、常见的误用和错误配置场景以及操作的优势和弱点相关联，安全团队可以创建更多的跟踪和报告粒度，从而最终帮助他们降低风险。

 2.风险管理意味着不断评估

只是让物联网部署启动并运行，然后忘记它是不够的；风险评估需要持续进行。物联网的风险状况随时间变化，受到添加和移除设备、更改访问策略、发现新漏洞以及应用于设备的固件和软件更新等活动的影响。如果企业和外部服务提供商之间需要共享物联网数据，也可能产生第三方风险。此外，随着数字转型的加速和物联网技术的成熟，企业必须跟踪和遵守的法规和准则将会越来越多。最后，重要的是要看看风险评估的结果如何影响采取的其他行动，例如，如果评估发现了敏感或高风险资产，这将如何影响与之相关的维护、更新和身份验证策略。

 3.不要忽视数据保护

生产信息或客户记录等敏感数据通常通过物联网设备进行处理。这些数据与其他数据一样，受到相同的隐私控制，但可能会被忽略甚至与控制系统完全隔离，从而给企业带来重大风险。而且，这可以使企业成为恶意行为者的具有吸引力的目标。最后，从连接的设备收集的数据的完整性通常对于物联网项目的成功至关重要。由于这些原因，保护数据与保护设备本身具有同等重要的意义。安全团队需要考虑如何保护静态数据、传输中数据或过程中的数据，风险团队必须能够管理和记录这一过程。

 4.了解谁在访问设备

保护设备之间的访问是确保连接环境的整体操作完整性的重要部分。企业应该对所有用户进行身份验证，以确保获知他们的真实身份，他们只能访问允许访问的信息，并且其凭据没有被泄露。例如FIDO IoT之类的新兴标准对于创建适当的物联网身份基础提供了很大帮助。这些访问策略的优缺点还应该反映在安全团队正在进行的持续风险评估中。

 5.监控：利用分析优势

在安全性和风险方面，物联网部署的规模通常是致命的弱点，但是这种规模确实提供了一个优势——大量的运营数据和使用有关设备的数据。有了这些数据，安全团队可以将分析和机器学习技术应用于设备配置文件，确定其正常行为的基线。以及检测异常活动和可能受到威胁的设备并向其发出警报。安全团队应始终考虑如何将监视与访问策略配合使用。例如，当监视工具向安全团队警告潜在威胁时，可以使用访问管理工具来控制对受影响资产的访问，或控制与外部网络的连接。