物联网：并不是什么新鲜事物

IoT: Not as new as you think

原文作者：Phil Quade

原文地址：https://internetofthingsagenda.techtarget.com/blog/IoT-Agenda/IoT-Not-as-new-as-you-think

译者微博：@从流域到海域

译者博客：blog.csdn.net/solo95

—————————————————————————————————————————————

物联网：并不是什么新鲜事物

最近物联网是一个热门话题。你很难在打开杂志或博客时看不到“统计数字显示即将联网的物联网设备数量将超过ClickChat上的青少年人数”。就像移动(设备)和之前智能手机的增长一样，物联网(快速增长)也是一个值得关注的现象。但这一次有不同的地方。物联网网络和设备在我们向数字经济的全球化转型中发挥着至关重要的作用，未能采用数字商业模式的企业或组织可能无法生存。这就是为什么我们应该赞扬那些开创了类似物联网技术应用的人 - 不仅在过去几年，而且在过去的几十年里也是如此。

我正在谈论的是在我们关键的基础设施中工作的技术人员，他们可以成功地依靠轻型传感器和分析学来测量基于工业控制和监控及采集系统（ICS / SCADA）所支持的基础设施的可用性和弹性。随着这些技术变得更加主流，更重要的是我们既要吸取来自使用“工业物联网”传感器的经验教训，又要审视它们的安全缺陷（许多ICS / SCADA系统是围绕可用性进行优化而不是其他的安全服务），因为我们扩展了物联网解决方案的开发和部署。

有时，以更高的准确度来描述物联网是有帮助的。我喜欢将物联网设备分为三类。第一类，消费型物联网，如智能电视和手表，连接设备或家庭安全系统，几乎每个人都熟悉这种类型的物联网设备并从中受益。另外两个类别，商业型物联网和工业型物联网，由我们许多人从未见过的东西组成。然而，我们每天依靠它们提供必要的资源和服务。商业型物联网包括诸如库存控制，设备追踪器和连网的医疗设备等，而工业物联网涵盖诸如连接电表，水流量计，管道监视器，制造机器人和其他类型的联网工业控制(系统)等。

传统上，商业网络和工业网络及其物联网设备是孤立运行的。但随着智能城市和联网住宅等主流化，它们现在需要在当地，国家甚至全球基础设施内共存，创建连接交通系统，水，能源，应急系统和通信的超连接环境。医疗设备，炼油厂，农业，制造车间，政府机构和智能城市都使用商业型和工业型物联网设备来自动跟踪，监控，协调和响应事件并管理关键资源。

从结果来说，面向公众的IT（信息技术）网络和传统上孤立的OT（运营技术）网络开始联系在一起。例如，物联网设备收集的由IT数据中心处理和分析的数据越来越多地用于影响生产现场的实时变化或提供关键性服务，例如清理城市拥堵的交通，以此响应民用紧急情况。

安全性影响是深远的。由于许多系统的超连接性质，不可靠的物联网行为可能会造成灾难性后果。OT，ICS和SCADA系统控制着物实体系统，而不仅仅是位和字节，即使是最轻微的篡改有时也可能具有深远影响并可能具有破坏性，并且危害个人和社区相关的关键系统，如运输系统，水处理设施或医用输液泵和监视器，甚至可能导致伤害或死亡。

不幸的是，很多物联网设备设计时从未考虑过安全因素。物联网设备面临的挑战包括身份验证和薄弱的授权协议，软件和固件的不安全，连接和通信设计不良，以及安全性配置能力的不足。许多挑战是“让人摸不着头脑的”，这意味着这些设备不能安装安全性(系统)，甚至不能轻易修补或更新。

而且由于物联网设备正在各地部署，保护它们需要所有生态系统的透明度和控制力。这就要求大量企业或组织首次使用统一的安全策略和协议集合IT，OT和IoT网络中发生的一切 - 在远程设备上以及公共和私有云网络上。将不同的安全工具集成到一个一致的系统中，可以使企业或组织实时收集威胁情报并关联在一起，识别异常行为并自动协调攻击路径上的任何位置的响应。但这并不容易。这些系统中的许多部分从未被设计为协同工作，在一个环境中可能是可接受风险的，但在另一个环境中可能是灾难性的。

要做到这一点，企业需要部署三项战略性网络安全功能：

1. 学习(Learn) - 企业或组织需要了解他们捆绑在一起的每个设备和网络生态系统的功能和局限性。为了实现这一点，所制定的安全解决方案需要全面的网络可见性才能安全地对IoT设备进行身份验证和分类。OT和ICS / SCADA网络和设备的运营商特别敏感，因为在某些情况下，即使简单地扫描它们也会产生负面影响。因此，企业必须学会安全地实现设备的实时发现和分类，允许网络构建风险配置文件，并自动将物联网设备分配到物联网设备组以及适当的策略组。
2. 分段(Segment) - 一旦企业组织建立了完整的可视性和集中管理，它就可以开始建立控制以保护不断扩大的物联网攻击面。这些控制的一个重要组成部分包括智能化，并在可能的情况下将物联网设备和通信解决方案自动分割成受强制策略保护的安全网络区域。这使得网络能够根据风险情况为每个物联网设备自动授予和实行基准权限，从而实现关键分散(critical distribution)和数据收集，而不会影响关键系统的完整性。
3. 保护(Protect) - 将策略所指定的物联网组与智能内部网络分段相结合，可以在分布式企业基础架构中的任何位置，实现设备策略的多层监视，检查和实施。但是，单个的分段可能会导致可视性断裂。每个组和网段都需要连接在一起形成一个整体的安全框架。这种集成方法实现了不同网络和安全设备与网段之间智能的集中关联，随后自动将先进的安全功能应用于位于整个网络中任何位置的IIoT设备和流量 - 尤其是在接入点，跨网段流量位置和云端。

最后，物联网不应被视为企业的孤立的或独立的组成部分。物联网设备和数据会和扩展网络进行交互，包括端点设备，云，以及传统和虚拟IT和OT。孤立的物联网安全战略只会增加开销，同时降低广泛的透明度。为了充分保护包括IIoT在内的物联网，企业和组织不仅需要安全点产品(指部署在各个安全点的产品)或平台。他们需要一个集成的自动化安全架构。

一个集成的安全框架能够连接在一起并联结跨越不同联网生态系统的不同安全元素。这种方法扩展并确保了弹性(resilience)，保护了分布式计算资源（包括路由和网络优化）的安全，并且允许智能的同步和关联以实现有效的自动化威胁响应(机制)。它还可以确保您将已知的物联网设备及其相关的风险配置文件安全连接到适当的网段或云环境。这样可以有效监控合法流量并验证身份验证和凭据，同时在分布式环境中实施访问管理。

但回顾这项工作的先驱者们。我们从ICS / SCADA专业人员那里学到很多东西，他们几十年来一直在保护我们的关键基础设施。这些OT技术专家使用各种协议，硬件，分析和SIEM，积累很多了应该挖掘的智慧，使得他们不再难以实现。企业必须成长并且教育他们的IT和OT专业人员，使他们能够做更好的准备，而不仅仅是为了保护他们自己的IIoT领域，同时也是为日益相互关联的关键基础架构领域做出贡献。

所有物联网议程网络贡献者均对其帖子的内容和准确性负责。作者的意见并不一定表达物联网议程的想法。