互聯(lián)網(wǎng)上的智能連接設(shè)備（包括相機(jī)，機(jī)器和傳感器）的數(shù)量呈指數(shù)增長趨勢。這在很大程度上意義在于物聯(lián)網(wǎng)通過改善自助結(jié)賬和店內(nèi)體驗，優(yōu)化供應(yīng)鏈管理物流等來轉(zhuǎn)變和增強(qiáng)消費(fèi)者零售體驗。但是，由于眾多攝像頭等其他連接到Internet的智能設(shè)備下，讓該行業(yè)面臨的風(fēng)險是巨大的，并且還在不斷增長。當(dāng)您考慮到零售行業(yè)中的數(shù)據(jù)泄露已經(jīng)很普遍的事實時，這種情況就很令人不安。那么零售商在2020年及以后如何應(yīng)對潛在的物聯(lián)網(wǎng)安全威脅呢？

　　從構(gòu)思到集成考慮安全性

長期以來，公司一直對部署帶有易受攻擊的固件的不安全的IoT設(shè)備感到內(nèi)。例如，去年，Microsoft威脅情報中心的安全研究人員確定了與多個外部設(shè)備進(jìn)行通信的已知對手(或俄羅斯)的基礎(chǔ)結(jié)構(gòu)。

在這種情況下，州政府正在試圖破壞各種客戶位置上流行的物聯(lián)網(wǎng)設(shè)備。這些類型的事件并不是為了破壞智能設(shè)備本身而發(fā)起的，而是將其用作進(jìn)入企業(yè)網(wǎng)絡(luò)的入口。

罪魁禍?zhǔn)资羌夹g(shù)專業(yè)人員使用默認(rèn)（制造商）密碼部署設(shè)備。造成此類攻擊的第二大原因是，最新的安全更新未應(yīng)用于設(shè)備。

例如，一旦黑客訪問了網(wǎng)絡(luò)，只需進(jìn)行簡單的網(wǎng)絡(luò)掃描即可查找其他不安全的設(shè)備。

這種方法可幫助他們跨網(wǎng)絡(luò)移動（未被發(fā)現(xiàn)），以識別具有高價值數(shù)據(jù)的高特權(quán)帳戶。他們還將有權(quán)運(yùn)行tcpdump來監(jiān)視本地子網(wǎng)上的網(wǎng)絡(luò)流量。

當(dāng)您考慮將安全性集成到零售網(wǎng)絡(luò)的設(shè)計和開發(fā)中時，可以顯著降低風(fēng)險。除了硬件之外，安全性是重中之重，而不是事后考慮。這是因為任何潛在的漏洞都可能導(dǎo)致數(shù)據(jù)泄露。

但是，這不是永久解決方案。隨著威脅的發(fā)展，應(yīng)對它的努力也應(yīng)如此。

　　徹底審核第三方供應(yīng)商

如果您的合作伙伴對安全性意識不強(qiáng)（土地原則不相同），則其網(wǎng)絡(luò)上易受攻擊的智能設(shè)備可以充當(dāng)進(jìn)入您網(wǎng)絡(luò)的入口。這樣的供應(yīng)鏈網(wǎng)絡(luò)在行業(yè)中是標(biāo)準(zhǔn)的，并且會大大增加攻擊面。

例如，網(wǎng)絡(luò)罪犯破壞了銷售點（POS）系統(tǒng)，并在繁忙的假期期間將其嵌入其中，竊取客戶的信用卡詳細(xì)信息。識別出入侵后，發(fā)現(xiàn)該漏洞影響了多達(dá)4100萬客戶。

造成此事件的根本原因是一家不太可能的HVAC維修公司，該公司曾作為第三方承包商使用VPN訪問網(wǎng)絡(luò)。在這種情況下，威脅參與者可以通過竊取（在維修公司的）員工密碼在POS系統(tǒng)上安裝惡意軟件來獲得進(jìn)入權(quán)限。

零售商需要有效的供應(yīng)鏈管理協(xié)議來有效運(yùn)作。因此，這些類型的伙伴關(guān)系是不可避免的。但是您可以做的是在允許訪問您的網(wǎng)絡(luò)之前，徹底審查潛在的供應(yīng)商。

一直跟蹤供應(yīng)鏈，以確保供應(yīng)商的分包商也遵循適當(dāng)?shù)木W(wǎng)絡(luò)安全最佳實踐。但是不要停在那里。物聯(lián)網(wǎng)安全還將要求對整個供應(yīng)鏈中的員工進(jìn)行背景調(diào)查。

　　保持內(nèi)部零售網(wǎng)絡(luò)的細(xì)分

由于沒有零售商可以采用的萬無一失的安全措施，因此最好將您的網(wǎng)絡(luò)分段。通過限制對網(wǎng)絡(luò)的訪問，此方法將有助于最小化由安全漏洞造成的損害。

解決此問題的最佳方法是在網(wǎng)絡(luò)之間使用防火墻和架構(gòu)師邊界。無論何時執(zhí)行此操作，都將需要授權(quán)和其他級別的身份驗證才能獲得訪問權(quán)限。

隨著零售商處理信用卡付款，在企業(yè)網(wǎng)絡(luò)內(nèi)創(chuàng)建分段的高安全性環(huán)境至關(guān)重要。

　　實時監(jiān)控物聯(lián)網(wǎng)網(wǎng)絡(luò)

分割網(wǎng)絡(luò)后，零售商需要確定網(wǎng)絡(luò)上有哪些智能傳感器和設(shè)備并阻止匿名連接。根據(jù)設(shè)備預(yù)期的行為類型實施規(guī)則。

例如，如果它是智能溫度計，則只能使其與特定來源進(jìn)行信息交流。如果設(shè)置正確，您就可以利用人工智能來監(jiān)視網(wǎng)絡(luò)上的異常行為。

如果您花時間在零售網(wǎng)絡(luò)上繪制所有“物件”，則很容易跟蹤和關(guān)閉可能受到威脅的設(shè)備。

　　遵循安全最佳實踐

確保商店安全是一項持續(xù)的工作。因此，舉例來說，每年的網(wǎng)絡(luò)安全和最佳實踐研討會是不夠的。您將必須重新訪問和重新培訓(xùn)組織中的每個人，并且隨著安全威脅的發(fā)展而發(fā)展。

將物聯(lián)網(wǎng)安全性納入整個組織的安全性最佳實踐中。即使智能傳感器和設(shè)備沒有生成敏感信息，也最好對其進(jìn)行加密。

強(qiáng)制升級固件和更改默認(rèn)密碼。同時，開發(fā)零售物聯(lián)網(wǎng)網(wǎng)絡(luò)清單，以深入了解您的風(fēng)險敞口。

有時制造商還嵌入后門以啟用遠(yuǎn)程訪問。盡管此方法有助于客戶支持，但惡意行為者將其作為目標(biāo)。因此，除非制造商已解決所有已知漏洞，否則請不要購買任何新設(shè)備。

展望未來，市場上每種新設(shè)備都可以發(fā)現(xiàn)新的漏洞。因此，零售商需要積極主動，以領(lǐng)先于不良行為者。關(guān)鍵是要使其難以置信。想了解更多關(guān)于避免網(wǎng)絡(luò)安全的方法，請繼續(xù)關(guān)注中培偉業(yè)。