《万物互联》二部曲--绝处逢生

以自适性信赖防护模式自动化监控物联网的一切

「不！不！我的天！我完全无法控制刹车！」莱丝莉．斯塔尔惊呼道。

莱丝莉．斯塔尔，美国CBS电视台新闻杂志节目《60分钟》的记者，惊呼当时正出现在节目里，开着通用汽车的雪佛兰Impala房车。画面一转，我们看到2010年时为博士研究生的Karl Koscher，正以其软件从线上控制通用汽车安装在Impala车内、类似物联网(IoT)的车载通讯管理系统OnStar。在另一个实验中，Karl Koscher还攻破OnStar的安全漏洞让Impala旋转。(5年后通用汽车修复了这个漏洞。)

2016年9月18日，法国最大云端服务与主机代管供应商OVH，面临史上罕见的大规模DDoS(分散式阻断服务)攻击。连续4天，超过 100Gbps等级的攻击至少出现26次。其原因是黑客利用Mirai恶意程序，感染物联网连线设备，如网络监视器、IP Cam、路由器或是小型Linux设备，取得线上操控这些装置的权限，再利用这些遭骇的物联网装置，对特定目标发动DDoS攻击。

2017年5月12日起，WannaCry(想哭)加密型勒索软件，利用微软Windows操作系统的安全漏洞，乘虚而入，加密个人电脑里的档案，要求受害的档案拥有者给付解密赎金，至今受害者遍布150个国家、超过20万台电脑。台湾的国家安全局则在5月17日表示至当日止有 158台电脑受害，幸好并不严重。

但据IoT Institute报导，令人担忧的是，物联网恐成为WannaCry的下一个目标。例如在酷寒的冬天控制你家的恒温器，要胁你再不付赎金就没暖气，或者不惜攻击电网、工业设施或医疗院所以求获得赎金。

不安全的物联网置人于绝处险境

层出不穷的事件告诉我们，物联网的致命弱点，就是安全性。不安全的物联网将置人、物于绝处险境。而且，不注重举足轻重的安全性，物联网技术改变世界的承诺，将无法实现。

理由很简单，如同美国华盛顿大学副教授Matt Reynolds所说：「物联网的整个理念是，这个由人类和自动化系统所构成的组合，根据分布在我们环境和生活中的传感器及系统所输入的数据，来决定时间和资源的配置。如果这些传感器输入的数据不可信赖，人类和自动化系统要麽就是不理会传感器和系统，要麽就是更糟糕地做出错误决策。在极端情况下，这种错误决策可能造成经济损失，甚至对人类和我们的环境造成伤害。」

我们可以合理的预测，未来企业在发展物联网策略时，装置(things)的安全性将比数据的安全性还重要。从Aruba 2017年的《物联网：今天和明天》调查报告中，我们就看到84%的物联网用户表示他们至少经历过一次物联网违安事件，其中以恶意软件、间谍软件和人为错误是最常见问题；93%的高端主管则预期未来会遭遇物联网安全违规行为。

转危为安 始于了解网络上的一切

那麽，什麽样的步骤或措施，可以确保物联网的安全性，让我们化险为夷？

首先，我们要彻底做到一个关键前提：对于网络上的一切，了如指掌。安全，始于了解网络上的一切。未受管理的智能手机、恶意的端点装置、物联网装置等，都会增加攻击面，威胁到企业安全。如果能看到网络上的一切，我们就可以更清楚了解公司网络的使用情况以及哪些人在使用。

IT必须能识别并剖析每一个连线到网络的装置，其类型、数量、连线来源位置，以及支持的操作系统，然后持续深入观察变化。唯有符合安全和行为规范的装置，才能连上网络，不合乎规范者必须被调整，否则就拒绝其连线。

第二，建立智能的安全原则，以便提供适当的使用者和装置存取权，而不用考虑使用者、装置类型或所在位置。第二步骤和第一步骤的关系密切。这是因唯有具备了解装置的能力(即可见度)，才能自动实施安全原则。

不过，对企业与工业领域中的组织来说，还应注意到有线的物联网装置，如动作传感器、医疗设备、工厂的制程控制器、会议室设备、IP 电话、打印机等，预期其数量将从35%成长到50%以上不等，视产业而定，因此安全原则必须涵盖有线和无线网络。

这些原则可充分利用使用者角色、装置类型、移动设备管理／企业移动管理数据、凭证状态、位置，以及星期几等，轻松管理员工、学生、教师、访客、企业主管及其所携带的无线装置，以及网络交换器上的装置连接埠。

第三，保护网络，尤其是保护愈来愈庞大的物联网，需要自动化的作业流程。根据市场研究公司IHS 2016年预测报告，全球物联网装置的数量，将从2015年的154亿个，2020年的307亿个，成长到2025年的754亿个装置。

在每天有数千个不明的移动和物联网装置连线到企业网络，更多使用者采用线上工作模式或购买新款移动设备的情况下，想要依赖IT和支持人员手动指派及实施针对每个装置的定制化安全原则，无疑是缘木求鱼。

Aruba提出的Adaptive Trust(自适应信任防护)模式，一举克服了上述三项挑战。它利用紧密整合的解决方案，提供装置身份识别、安全原则控制、工作流程自动化以及自动化威胁防护能力。

透过撷取并关联实时的环境数据，企业或组织就能够定义适用于任何环境(企业环境、院区或校园、饭店或大型球场)的安全原则，确保准确授予每个装置应有的网络存取权限，将IT手动介入降至最低，并达成随时随地均能安全无虞的有线和无线网络环境。

尽管保护物联网安全可能是一项艰巨的任务，颇令人心忧，但我们仍然可以有信心的指出，只要采取正确步骤、使用正确的工具，这些挑战都能迎刃而解，让你安心无虞。

在下一篇文章中，我们将进一步思考物联网的最佳应用情境。循着最先发展物联网的Auto-ID Center联合创始人暨麻省理工学院机械工程教授Sanjay Sarma所提出的智能城市愿景，我们将探讨物联网技术在智能城市和智能医疗的应用，包括国内的案例。第一篇精彩文章内容，请参考万物互联首部曲 – 边缘革命。