Arlen Baker 风河公司首席安全架构师

边缘设备——对于浩瀚的物联网来说是一些小玩意儿！但是，一些小玩意儿也可能隐藏着大危机！例如，如果网络里那些“不安全的小设备”可以轻松入侵你的系统、窥探你的机密数据，你还会无动于衷吗？不幸的是，这正是你必须面对的事实。

根据Check Point Research发布的数据，在每一个星期的时间内，有54%的企业机构会成为物联网攻击的目标。物联网设备的数量预计将在未来几年内增加一倍以上，这将带来快速上升的隐患，防范网络攻击面临越来越大的挑战。从安防摄像头到医疗设备，从自动化工厂机器人到自主无人机，首席信息安全官将会有很多事情需要操心。

对风河公司来说，保护边缘网络互联设备是我们工作的重要组成部分。在这些设备中，有许多都运行着关键任务，需要经过强化的Linux操作系统来支撑，以便获得针对通用漏洞披露(CVE)的保护，从而在安全性上优于Microsoft、Google和其他软件平台。然而，即便如此，基于Linux的边缘设备仍然需要保护。为了满足这一需求，我们提出了以下五个最佳安全实践，用于保护网络边缘的Linux设备。

最佳实践#1: 调查您所面临的威胁状况

如今，互联设备的数量与互联网用户的数量之比约为3:1，但在防范网络攻击方面，许多安全团队仍然采用以用户为中心的思路。更好的做法是通过提出以下几个问题来了解整个网络面临的威胁状况:

• 我们真正需要保护的是什么?仅仅是数据和人员，还是也包括设备和环境?
• 作为一个组织机构，我们最容易受到什么样的威胁?
• 我们可以承担多大的风险而不遭遇安全危机?我们能承受业务中断一小时所造成的后果吗?在发生数据泄露的消息被公布后，我们的声誉还能恢复吗?如果能，恢复的速度有多快?
• 国家或行业法规对我们有哪些限制和处罚?
• 我们是否能够有计划地应对来自物联网的安全攻击，还是我们只是边走边看、临时应变?
• 谁来负责应对网络攻击?这完全依赖于我们的安全团队，还是我们应该引入供应商和顾问来提供帮助?

最佳实践#2: 保护您的数据

让我们假定您的企业已经制定了某种数据保护计划。但是，如果您相信这个计划已经无懈可击，那是十分危险的！数据安全作为一门学科，涉及几十种不同的安全机制，很难找到一个企业机构能够让其中每一种机制都很好地落到实处。对基于边缘的设备，企业机构首先需要做好的两件事是补丁管理(越自动化越好)和机密清理(即在退役之前清除设备数据)。

最佳实践#3: 首先化解最危险的攻击

去年，有超过25000个独立CVE被发现。据统计，每20分钟就会产生一个新的CVE。在如此大量的网络攻击活动中，安全团队需要优先针对最严重的攻击进行修复和化解，这才是解决网络攻击问题最明智的做法。风河公司已经推出了有效应对物联网攻击问题的6大关键组件:

• 衡量攻击的潜在影响
• 首先关注最常遭受的攻击
• 保护那些商业风险最大的部位
• 首先处理“容易解决”的问题
• 注意采取法规要求的安全措施
• 对CVSS (Common Vulnerability Scoring System)评分高的攻击赋予较高的优先级

最佳实践#4: 让您的安全机制自动化

考虑到威胁载体和攻击的数量如此之多，企业机构不应指望通过人工修复来遏制网络犯罪活动。自动化对于有效检测、调查、识别和修补网络攻击至关重要。面对这种情况，风河公司推出了比最佳实践更有价值的解决方案。我们为市场上基于Linux的边缘设备提供最佳的漏洞扫描工具——而且我们是免费提供。我们的漏洞扫描工具以自动化的方式进行一系列安全活动，包括CVE生命周期管理、准确的安全数据收集、社区数据研究、漏洞扫描、分类、许可证识别、仪表板、安全报告和安全物料清单生成。

最佳实践#5: 持续演进、迭代前行

保护您的网络和互联设备免受网络攻击，这不可能一劳永逸，而是一个持续性的过程。企业机构需要将基于边缘的设备安全视为规划、开发、部署、运营和退役的连续循环周期。遗憾的是，网络犯罪分子是不会休假的(事实上，他们通常会在节假日加班)！您所做的安全工作也不会让他们望而却步、减缓攻击。遵循行业最佳实践，尽量让您所能做到的工作实现自动化，并从经验丰富的安全合作伙伴那里获得专业知识，这是保护您的设备免受网络犯罪分子攻击的最佳方法。