万物互联风险随处可见 派拓网络如何构建全方位的安全屏障？

   万物互联为人们的生产和生活带来了无限的可能性，但与此同时，安全性也在困扰着企业发展和日常生活。如今，网络攻击者只需透过小型的物联网设备，就能找到企业网络的入口，以发起勒索软件等攻击。根据Palo Alto Networks对IT决策者进行的一项调研，84%的中国大陆受访者表示，过去一年连接到企业网络上的非商业设备有所增加。在今年的研究中，智慧灯泡、心率监测器、联网运动装置、咖啡机、游戏机，甚至是宠物喂食器等设备都出现在了网络设备列表上。

   越来越多的设备联网让安全威胁频出。今年3月，黑客入侵了一家位于硅谷的安全设备厂商，盗取了15万个摄像头拍摄的实时视频。同样是在年初，Palo Alto Networks对13.5万个安全摄像头进行了检查，发现54%的摄像头至少有1个安全漏洞，黑客利用这些漏洞可以完全控制、操控这些摄像头，以此为跳板进入企业网络发动攻击。此外，大部分家庭使用的路由器也普遍存在安全漏洞，黑客很容易通过这些设备进入家庭网络，利用薄弱的家庭和办公设备发起勒索攻击。

     Palo Alto Networks（派拓网络）大中华区总裁陈文俊认为，当前的远程办公为企业带来的安全挑战主要有三个方面：第一，没有托管安全服务的家庭网络本质上是不安全的，无法通过企业标准的安全软件和策略加以保护，导致其难以对从家庭网络入侵企业网络的威胁加以防范；第二，缺乏网络分段，黑客很容易从家庭网络横向扩展到企业网络，窃取企业内部的机密信息和数据；第三，缺乏网络的可视性，有些企业的安全团队对家庭网络上的设备并不了解，无法对安全威胁进行快速反应和处理。

Palo Alto Networks（派拓网络）大中华区总裁陈文俊

     “企业迫切需要创新的安全保护方式，来应对分布式办公模式带来的安全挑战。安全保护必须从设备层面提升到整个网络层面，提升员工的效率和生产力，以确保企业安全为前提。”陈文俊说。在Palo Alto Networks委托Vanson Bourne进行的研究中，100%的中国大陆受访者认为其组织的物联网安全保护方法需要改进，27%的受访者则表示需要彻底改革。其中，对风险评估（70%）、提供给安全团队的物联网设备上下文（64%）、装备可见性和库存（62%）以及政策执行和零信任控制（62%）等方面需求最大。

   值得注意的是，在今年所有受访的中国大陆IT决策者中，有35%表示其物联网设备连接的网络与所属企业主要设备及业务应用（如人力资源系统、电邮服务器、财务系统）的网络各自独立运作。44%受访者遵循了最佳实践——网络微分段（Microsegmentation），在网络中创建的严格控制之安全区域，以隔离物联网设备并将它们与IT设备分开，防止黑客在网络上横向移动进行攻击。

   针对处于潜在风险物联网环境，Palo Alto Networks给出了一些建议。随着远程办公越来越普遍，用户要对所联入的Wi-Fi路由器更加熟悉，除了进行修改原始口令等操作，还要把网络加密协议提升高更高的等级。同时，要定期检测路由器的挂载设备，切断不熟悉的网络接入，并且采用网络分段，把办公、家用等不同场景的设备单独分配网络，这些设备都应该进行双重认证和及时的系统或软件更新。

   对于企业来说，不仅要了解每一个接入网络的设备，还要对其进行持续追踪，掌握设备类型、连接状态、版本号、网络协议、端口访问权限等信息，遵循零信任原则，进行设备、用户访问权限和实时流量的安全检查。基于这些监测到的状态信息，要有相应的技术能够及时发现设备上的安全漏洞，有效组织恶意攻击的发生和进一步扩散。要知道，很多企业内部的IoT设备是非标准化的，对其管理和运维有着不小的挑战，甚至一些设备并不是由IT部门部署的，一旦某一个设备遭到攻击，恰好又没有及时更新安全补丁，恶意程序就会在网络中快速蔓延。

   Palo Alto Networks（派拓网络）中国区大客户技术总监张晨介绍称，Palo Alto Networks可以从两个方面帮助企业和个人保护物联网设备，首先，将AI/ML技术与APP-ID、Device-ID等智能识别和检测技术相结合，让每一个物联网设备的状态和信息清晰可见，让风险无所遁形。对这些设备进行识别之后，再对其进行行为学习形成基准模型，如果发现实际运行的设备偏离正常值，就会被怀疑受到了黑客攻击，这一过程会持续被监控，并据此不断完善安全策略。

Palo Alto Networks（派拓网络）中国区大客户技术总监张晨

   除此之外，Palo Alto Networks还推出了企业级家庭网络安全解决方案Okyo Garde，整合硬件、软件和服务提供一站式的安全策略，这款支持Wi-Fi 6的产品适用于全新的混合工作环境，可以为家用和公司的设备进行网络隔离，所具备的多种安全策略能够将企业内部的零信任架构延伸到家庭网络，一旦发现恶意软件侵入即可断掉风险链接，并且与SASE解决方案无缝结合。使用过程中，用户可以在手机上通过APP对物联网设备进行管理。

   Prisma SASE将广域网选择、网络安全、网络检测、零信任接入等服务聚合起来，以云的方式向客户提供便于其快速部署，且具有足够的资源弹性。Okyo Garde面向居家办公、中小企业和分支机构场景，集成了Prisma SASE，为不同设备、不同系统、不同环境的零信任安全管控提供了行之有效的方案。尤其是在物联网设备快速增长的中国市场，Okyo Garde和Prisma SASE的结合更为重要，可以有效遏制弱密码、标准不统一、安全防护薄弱、网络接入混乱等问题带来的风险，更好的满足数据隐私方面的监管要求。

   到2025年，预计会有420亿物联网设备，无处不在的终端使得漏洞暴露的几率陡然增长，并且随着家庭与企业的办公环境边界日益模糊，风险蔓延也在加快。对此，势必要构建一个易部署、高可靠、全平台的零信任安全整体架构，这正是Palo Alto Networks需要做的事情。“派拓网络是网络安全领域的技术专家，我们的目标和愿景就是给企业提供全方位的安全保护，任何的技术创新的应用都必须以安全为前提。”陈文俊说。

   调查背景

   Palo Alto Networks（派拓网络）委托技术研究公司 Vanson Bourne对1900名组织内的IT决策者进行了调查，这些决策者分布在18个国家或地区：美国、加拿大、巴西、英国、法国、德国、荷兰、中东（包括阿联酋和沙特阿拉伯）、西班牙、意大利、爱尔兰、澳大利亚、中国（包括香港、台湾）、印度、日本和新加坡。