企业的物联网安全策略总是遇到障碍？我们知道挑战有多大，不过通过下面的步骤，你可以避免某些常见的错误。

开始利用物联网时，企业架构师需要对自己的安全策略进行再思考。利用嵌入式系统连接性的能力有赖于企业基础设施向一组范围大得多的设备开放，而这些设备均有可能引入新的物联网安全漏洞。

“许多很快就要部署的物联网和应用不会采用安全发展态势下的最佳实践，让可能导致敏感数据被拦截的漏洞有被利用的可能，” Brian Russell说。Brian Russell是全国性的安全、健康与工程信息安全解决方案公司Leidos的工程师，专攻信息安全解决方案，还领导了云南拳联盟的安全物联网行动计划。“物联网制造商开始获得专业知识来确保整个产品生命周期的安全将变得非常重要。”

用于管理和使能各个阶段的物联网安全的工具仍非常的不成熟。物联网安全咨询公司Laconicly的创始人Billy Rios说：“我们甚至还没有帮助我们完成简单任务（如寻找我们所有在网设备在哪里，确保设备用户账号具备可靠密码）的工具。这些设备上的软件安全非常恐怖。”

硬编码（后门）的证书，不安全的协议，弱验证和数据完整性都是极其普遍的。取证真的非常困难。Rios解释说，“大多数组织缺乏工具和专业知识去对这些设备进行事件和取证调查，所以这些设备在进行事件处理和取证调查时往往会被忽视。”

跳出防火墙去思考

一大挑战是物联网设备会彻底跳过防火墙建立与第三方服务的长期连接，有的甚至表面上都不为企业所知。安全服务咨询公司Rapid7负责战略服务的资深安全顾问Mark Stanislav说，“企业部署现成物联网服务应考虑那些设备拥有的网络访问的层级，有多少数据进行传输，开发此设备的组织在信息安全方面的成熟度如何等。”

如果物联网设备被盗用，大多数组织基本上不要指望能知道发生了什么，因为对物联网软件和硬件的内部工作机制的了解非常有限。大部分这些物联网设备都能给可危害单台设备的攻击者提供很大的能力，然后再逐步渗透到整个网络，如果网络没有正确保护或者分段的话。“数据，无论是视频、音频、环境或其他敏感信息，往往都可以通过受入侵物联网设备盗取出去，可能还会为犯罪分子提供组织有价值的信息来利用，” Stanislav补充道。

保护物联网最大的不同在于要跳出防火墙去思考，因为物联网意味着与公共互联网的连接。物联网分析服务提供商Keen IO的联合创始人兼CTO Daniel Kador说：“问题不是如何防止设备受入侵，这是肯定会的。而是当这种事情发生时如何去处置。”

继续关注制定物联网安全策略的四种方法。