【原】派拓网络：家用非商业联网设备成为企业网络新风险源

随着物联网技术的普及，越来越多的个人和家用设备开始联网，像智能灯泡、心率监测仪、咖啡机，甚至宠物喂食器都出现在网络设备的列表里，成为智能家具不可缺少的一部分。“万物互联带给人们极大方便的同时，其隐藏着的安全威胁也不可忽视，因为黑客只需透过小型的物联网设备，就能找到企业网络的入口，发起勒索软件等攻击行为。”日前，在Palo Alto Networks（派拓网络）物联网安全媒体沟通会上，派拓网络大中华区总裁陈文俊先生如是说。

                                             

Palo Alto Networks（派拓网络）大中华区总裁 陈文俊

Palo Alto Networks（派拓网络）中国区大客户技术总监 张晨

Palo Alto Networks（派拓网络）中国区大客户技术总监张晨女士分享了2021年派拓网络对全球近2000家企业针对IoT安全的调研报告。根据该报告，八成以上的中国大陆受访者表示，其所在企业的物联网安全事故在这一年来有所增加，100%的中国大陆受访者都认为其企业的物联网安全保护方法需要改进，27%的受访者则表示需要彻底改革。其中，对风险评估（70%）、提供给安全团队的物联网设备上下文（64%）、装备可见性和库存（62%）以及政策执行和零信任控制（62%）等方面需求最大。

另外该报告还显示，35%的中国大陆受访者表示，其组织的物联网设备连接的网络与所属企业主要设备及业务应用（如人力资源系统、电邮服务器、财务系统等）的网络各自独立运作。另有44%受访者遵循了最佳实践“网络微分段”（Microsegmentation），在网络中创建的严格控制之安全区域，以隔离物联网设备并将它们与IT设备分开，防止黑客在网络上横向移动进行攻击。

值得注意的是，根据报告，出现在企业网络的物联网设备，排名靠前的不乏一些智能家居设备，比如厨房小家电、监控器等，另外联网的摄像机和照相机、可穿戴的医疗设备，也出现在很多企业网络中。

万物互联时代到来，安全问题凸显

陈文俊表示，目前在整个互联互通大背景的影响下，各个国家地区、各个企业和行业，采用物联网已经成为了企业推动业务发展的一个很关键的新兴业态。数据显示，仅在2021年，就有将近76亿IoT设备连接到网络，预计到2025年，大概会有接近420亿的IoT设备出现。像智能灯泡、咖啡机、医疗穿戴设备，甚至电动车、自动驾驶的汽车，这些联网的IoT设备，由于它们使用的芯片、操作系统往往没有及时打补丁，而成为黑客攻击的目标。

而在一个企业内部网络上，根据派拓网络的调查，有30%是IoT设备，同时98%的IoT设备的流量是不加密的。如果一个设备受到感染，就很容易横向扩展到相连的设备，同时也很容易进入到企业内部网络，影响企业核心数据与业务安全。

另外，自新冠疫情发生以来，分布式办公或远程办公成为一个新常态。传统的办公室环境具有安全策略，所有的设备都是经过认证后连接到企业内部网络，相对比较安全。但是员工居家办公以后，家庭网络与企业网络其实存在于同一个环境中，家庭环境中同时有很多的IoT设备的存在，由于家庭网络没有托管安全服务，以及缺乏网络分段与网络可视性，所以很难保证整个网络中物联网设备的安全。

这就要求员工和雇主共同承担保护网络的责任，才能应对物联网引发的安全挑战。

“零信任”原则帮助企业防范物联网威胁

企业和个人如何防范物联网设备接入带来的安全问题呢？首先对于居家办公的员工来说，张晨建议，要熟悉你的路由器，通过修改原始口令，把相应网络加密的协议提升到更高的等级来保护路由器安全；对联网设备进行定期查看与跟踪，了解有哪些设备连接到了家庭网络；使用双重验证以及启用安全更新，不管是家用电脑，还是可穿戴设备、智能家居设施，以及光纤路由器等，都要定期执行安全更新。除此之外，建议将家庭网络分段，即将办公电脑单独规划到一个网段中，家用的一些其他智能家居设备单独放在另外的网段。

对于企业来说，张晨建议，除了要全面了解与企业连接的所有物联网设备，持续跟踪已连接的设备外，对物联网环境要遵循“零信任”原则。物联网的安全实际上是整个IT架构中零信任不可缺失的一环，应该从IT决策者和规划者的角度，把物联网安全纳入到整个零信任的架构中，同样对它进行设备、用户访问权限和实时流量的安全检查。

另外企业要利用有效的技术，对在物联网设备上发现的安全漏洞、引起的安全攻击进行及时阻止，要采取自动化、高效和智能的安全技术，对未知的安全威胁进行实时阻断和快速响应。

派拓网络通过两种方式帮助保护物联网设备

派拓网络通过技术创新，可以从两个大的层面上帮助企业和个人保护物联网设备。

第一，将机器学习、人工智能技术与专利技术App-ID™和Device-ID™相结合，来更好地帮助企业和个人发现物联网所要使用的应用，以及快速识别物联网设备的标识，这样能够让我们了解到联网的物联网设备，以及物联网设备要用的应用协议和设备本身的端口号、版本号，实现对物联网设备的清晰可见。

第二，为用户物联网、医疗物联网和OT设备提供最准确和最深入的可见性，以有效地基线化它们的正常行为。建立基线模型，凡是超出这个模型之外的可疑状态，进行重点监控。该解决方案使安全团队能够主动预防威胁、监控设备风险、检测异常，进而不断修正和强化安全实施策略。

最近，派拓网络还推出了全新产品Okyo Garde™，这是一款通过高级联网WiFi 6系统提供支持的企业级家庭网络安全解决方案。Okyo Garde的设计旨在应对新混合工作环境，通过该产品，可以发现家庭里所有的联网设备，包括公司用的设备和家庭用的设备，同时可以做网络隔离。

同时Okyo Garde可以下载安全策略，有安全的管控，可以把“零信任”策略从企业内部延伸到家庭网络。另外也可以通过手机上的移动程序APP来管控这个设备，如果发现家庭网络受到一些攻击，或者是受到恶意软件的勒索、钓鱼，可以通过该设备把这个链接断掉。

点“赞”和“在看”给我鼓励和一朵小黄花