“影子物联网”：日益提高的企业安全盲区

发布时间：2021-06-12 11:24:59 所属栏目：交互来源：互联网

导读：在管理影子物联网的风险方面，企业、制造商和立法者需要发挥各自的作用。研究表明，在今年秋季，可能只有三分之一的员工返回办公室工作，而在可预见的未来，将有大量的员工继续在家远程工作。这种变化要求企业引入大量新的政策和程序来适应，尤其是在企业安

在管理“影子物联网”的风险方面，企业、制造商和立法者需要发挥各自的作用。

研究表明，在今年秋季，可能只有三分之一的员工返回办公室工作，而在可预见的未来，将有大量的员工继续在家远程工作。这种变化要求企业引入大量新的政策和程序来适应，尤其是在企业安全领域。

多年来，业内人士预测物联网设备的数量将会激增。软银集团首席运营官Marcelo Claure在2018年表示，到2025年，地球上的每个人将平均拥有100台物联网设备。更重要的是，在未来三年内，企业的物联网支出将增加96%。

随着发生的疫情促使在家远程工作的员工购买更多的办公设备，对物联网设备的需求也在加快。然而，从WiFi路由器、无线mesh网络到智能音箱以及以健康为重点的可穿戴设备，这种新的物联网购买浪潮可能会破坏业务的安全性，因为业务环境本身就是员工的家庭。

企业的物联网设备的安全性如何?

员工在家工作而购买的大多数物联网设备相对成本低廉，由于是面向普通消费者，通常在硬件或软件层面很少对其进行安全保护。

此外，企业IT团队无法了解员工拥有的设备或他们已采取(或未采取)的安全措施。由于15%的物联网设备所有者仍然使用默认密码，很多员工使用易受攻击的设备。

而且，当这些设备驻留在同一个网络上，而其网络正被企业员工用于电子邮件、文件共享和访问受保护的数据时，出现的安全漏洞将成为威胁业务的一个主要问题。恶意攻击者可以访问更多与物联网设备相关的攻击面，包括硬件、网络、API和接口。

由于在短期内没有迹象表明企业全面复工复产，政府、制造商、IT安全团队和员工都需要在减轻这些风险方面发挥作用。

企业IT的物联网安全

好消息是，物联网设备的安全原则与一般应用于其他设备和数据的原则相似。

鉴于这些设备不在IT和运营团队的管理范围内，因此它们必须安装可以提供端点保护和监视边缘设备的安全工具，而尽早进行入侵防御和检测仍然是避免遭到破坏的最佳方法。

加密和其他安全应用程序应该在企业IT设备上进行评估，而其IT设备与消费者物联网设备将部署在同一网络上。它们是第一道防线，需要提供安全的措施，如上所述，这些设备经常不作为标准设备提供。

企业应针对上述攻击面评估其漏洞，并采取相应的措施，例如对企业网络上的设备实施更严格的实时身份验证过程。

员工教育和基本网络安全培训和意识在降低风险方面也发挥着重要作用。例如，将物联网设备连接到单独的网络会使网络攻击更加困难，因此要求员工在网络级别将工作和消费设备分开将会产生重大影响。

而提高加密意识也是另一个员工必须做到的事情，至少可以要求员工检查并重置物联网设备上的默认密码。

制造商必须采取措施保护设备

物联网设备制造商本身也需要采取长期安全措施。即使其产品不受其所在市场中保护物联网设备安全的法律要求也要如此。

即使违规行为是无意的，物联网设备制造商也可能面临巨大的声誉损失、知识产权受损、消费者信任丧失，以及设计不良的结果。

设备级身份管理是保证物联网安全的关键。泄露密码是获得未经授权访问设备的最简单和最常见的方式，这就是立法通常针对这一领域的原因。

良好的凭据管理看起来像是出厂时设置的唯一防篡改硬件标识符，具有唯一的复杂密码和安全的密码重置过程。存储的每个密码还应使用行业标准的哈希函数和唯一的Salt值。如果可能的话，还需要使用双因素身份验证方法。

外部网络连接的数量应保持在设备运行所需的最小数量，以便限制和控制接入点。这也适用于物理接入点，制造商用于测试或调试设备的所有接口和端口都应移除。

许多物联网设备制造商已经开始认真对待这一问题，但对于那些没有认真对待的制造商来说，这个问题最终会受到监管机构的处罚。

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!