万物联网 二部曲--绝处逢生

　　以自适性信赖防护模式自动化监控物联网的一切

　　“不!不!我的天!我完全无法控制剎车!”莱丝莉.斯塔尔惊呼道。

　　莱丝莉.斯塔尔，美国CBS电视台新闻杂志节目《60分钟》的记者，惊呼当时正出现在节目里，开着通用汽车的雪佛兰Impala房车。画面一转，我们看到2010年时为博士研究生的Karl Koscher，正以其软件从远程控制通用汽车安装在Impala车内、类似物联网(IoT)的车载通讯管理系统OnStar。在另一个实验中，Karl Koscher还攻破OnStar的安全漏洞让Impala旋转。(5年后通用汽车修复了这个漏洞。)

　　2016年9月18日，法国最大云端服务与主机代管供货商OVH，面临史上罕见的大规模DDoS(分布式阻断服务)攻击。连续4天，超过 100Gbps等级的攻击至少出现26次。其原因是黑客利用Mirai恶意软件，感染物联网联机设备，如网络监视器、IP Cam、路由器或是小型Linux设备，取得远程操控这些装置的权限，再利用这些遭骇的物联网装置，对特定目标发动DDoS攻击。

　　2017年5月12日起，WannaCry(想哭)加密型勒索软件，利用微软Windows操作系统的安全漏洞，乘虚而入，加密个人计算机里的档案，要求受害的档案拥有者给付解密赎金，至今受害者遍布150个国家、超过20万台计算机。

　　但据IoT Institute报导，令人担忧的是，物联网恐成为WannaCry的下一个目标。例如在酷寒的冬天控制你家的恒温器，要挟你再不付赎金就没暖气，或者不惜攻击电网、工业设施或医疗院所以求获得赎金。

　　不安全的物联网置人于绝处险境

　　层出不穷的事件告诉我们，物联网的致命弱点，就是安全性。不安全的物联网将置人、物于绝处险境。而且，不注重举足轻重的安全性，物联网技术改变世界的承诺，将无法实现。

　　理由很简单，如同美国华盛顿大学副教授Matt Reynolds所说："物联网的整个理念是，这个由人类和自动化系统所构成的组合，根据分布在我们环境和生活中的传感器及系统所输入的数据，来决定时间和资源的配置。如果这些传感器输入的数据不可信赖，人类和自动化系统要么就是不理会传感器和系统，要么就是更糟糕地做出错误决策。在极端情况下，这种错误决策可能造成经济损失，甚至对人类和我们的环境造成伤害。"

　　我们可以合理的预测，未来企业在发展物联网策略时，装置(things)的安全性将比数据的安全性还重要。从Aruba 2017年的《物联网：今天和明天》调查报告中，我们就看到84%的物联网用户表示他们至少经历过一次物联网违安事件，其中以恶意软件、间谍软件和人为错误是最常见问题;93%的高阶主管则预期未来会遭遇物联网安全违规行为。

　　转危为安 始于了解网络上的一切

　　那么，什么样的步骤或措施，可以确保物联网的安全性，让我们化险为夷?

　　首先，我们要彻底做到一个关键前提：对于网络上的一切，了如指掌。安全，始于了解网络上的一切。未受管理的智能手机、恶意的端点装置、物联网装置等，都会增加攻击面，威胁到企业安全。如果能看到网络上的一切，我们就可以更清楚了解公司网络的使用情况以及哪些人在使用。

　　IT必须能辨识并剖析每一个联机到网络的装置，其类型、数量、联机来源位置，以及支持的操作系统，然后持续深入观察变化。唯有符合安全和行为规范的装置，才能连上网络，不合乎规范者必须被调整，否则就拒绝其联机。

　　第二，建立智能型的安全原则，以便提供适当的用户和装置存取权，而不用考虑用户、装置类型或所在位置。第二步骤和第一步骤的关系密切。这是因唯有具备了解装置的能力(即可见度)，才能自动实施安全原则。

　　不过，对企业与工业领域中的组织来说，还应注意到有线的物联网装置，如动作传感器、医疗设备、工厂的制程控制器、会议室设备、IP 电话、打印机等，预期其数量将从35%成长到50%以上不等，视产业而定，因此安全原则必须涵盖有线和无线网络。

　　这些原则可充分利用用户角色、装置类型、移动装置管理∕企业移动管理数据、凭证状态、位置，以及星期几等，轻松管理员工、学生、教师、访客、企业主管及其所携带的无线装置，以及网络交换器上的装置端口。

　　第三，保护网络，尤其是保护愈来愈庞大的物联网，需要自动化的作业流程。根据市场研究公司IHS 2016年预测报告，全球物联网装置的数量，将从2015年的154亿个，2020年的307亿个，成长到2025年的754亿个装置。

　　在每天有数千个不明的移动和物联网装置联机到企业网络，更多用户采用远程工作模式或购买新款移动装置的情况下，想要依赖IT和支持人员手动指派及实施针对每个装置的订制化安全原则，无疑是缘木求鱼。

　　Aruba提出的Adaptive Trust(自适应信任防护)模式，一举克服了上述三项挑战。它利用紧密整合的解决方案，提供装置身分识别、安全原则控制、工作流程自动化以及自动化威胁防护能力。

　　透过撷取并关联实时的环境数据，企业或组织就能够定义适用于任何环境(企业环境、院区或校园、饭店或大型球场)的安全原则，确保准确授予每个装置应有的网络访问权限，将IT手动介入降至最低，并达成随时随地均能安全无虞的有线和无线网络环境。

　　尽管保护物联网安全可能是一项艰巨的任务，颇令人心忧，但我们仍然可以有信心的指出，只要采取正确步骤、使用正确的工具，这些挑战都能迎刃而解，让你安心无虞。