影子物聯網對網絡安全構成越來越大的威脅
如果沒有政策和可見的物聯網技術庫存,組織將其網絡和數據置于未經授權訪問固有不安全設備的風險之中。
組織領導者每年都會部署數百萬臺設備來構建其物聯網部署,但他們并不是唯一連接到組織網絡的設備。員工還在工作場所中部署了數量驚人的智能設備,其中許多未經許可使用。這種趨勢稱為影子物聯網,并可能使組織面臨風險。
影子物聯網就像影子IT一樣,由于沒有IT團隊和IT安全部門對設備的可見性,并且無法監視或保護看不見的東西,因此會帶來安全風險。
技術市場咨詢機構ABI Research公司的數字安全研究主管Michela Menting表示:“它給組織構成了嚴重威脅,因為它提供了一種可以很容易地檢測到惡意流量的載體。”
對于未經批準的技術的使用對于IT和安全主管來說已經不是什么新鮮事了,他們數十年來一直與影子IT作斗爭。專家將影子IT定義為未經技術部門授權或批準,也未經安全團隊審查的硬件和軟件的實現和使用。
影子物聯網擴展了IT和安全領導者面臨的挑戰。他們必須在對技術的支持之間取得平衡,該技術使工人的工作更輕松,并且可以防御網絡安全威脅。
全球網絡安全組織Kudelski Security公司首席執行官Andrew Howard說,“對于個人來說,在不知情或未經批準的情況下,將互聯網連接設備或設備網絡添加到公司網絡中通常是相當容易的。通常,用戶添加這些設備是為了個人方便或幫助他們完成工作,而不知道它們可能會給企業環境增加風險。通常情況下,用戶在添加這些設備是出于個人方便或幫助他們完成工作,而不了解他們是這些設備中的絕大多數都不是設計安全的。”
在IT自動化和安全廠商Infoblox公司發布的名為《潛伏在網絡上的是什么:暴露影子設備的威脅》的報告中,最常見的影子物聯網設備類型是健身追蹤器、數字助理(如亞馬遜的Alexa)、智能電視、智能廚房設備(如互聯微波爐)和游戲機,比如Xbox和PlayStation。
其他影子物聯網設備可能包括無線打印機、無線恒溫器和監控攝像頭,而無需IT或安全專業人員,設施部門或工作人員便可以輕松安裝它們。
一些組織還發現員工可以連接智能音箱、連接的燈光和RaspberryPi硬件。Infoblox產品營銷副總裁AnthonyJames表示,RaspberryPi是一款小型單板計算機,用戶可以對其進行配置以執行許多任務。
James補充說:“這更多地歸結為人們正在連接的個人物品——不需要太多技術知識的設備。所有這些設備都有IP地址,它們已經成為許多組織的一大盲點。”
影子物聯網如何威脅組織
智能手表和連接的設備看似無害,但專家強調,影子物聯網給組織帶來了重大風險。最令人擔憂的是設備本身經常缺乏嵌入式安全性。
Menting說:“由于容量低、計算資源不足或電池有限,許多物聯網設備都缺乏基本的安全功能,無論是嵌入式硬件安全還是安全軟件。這意味著它們很容易被顛覆或攔截。”
黑客可以將缺乏嵌入式安全性作為進入組織網絡的入口,在這種情況下,權限升級使他們更受限制地訪問更敏感的信息。
Menting說,該漏洞和物聯網設備數量的整體增加進一步誘使不良行為者為僵尸網絡和拒絕服務或分布式拒絕服務攻擊而入侵或定位設備。
這不是一個假設的場景;這樣的攻擊已經發生。在通過互聯網連接的魚缸訪問北美一家賭場的網絡后,黑客于2017年竊取了10GB的數據。
專家預計,針對物聯網的攻擊數量以及這些攻擊的復雜性會隨著連接設備數量的增加而增加。云安全組織Zscaler公司研究部門Threat LabZ在其有關企業物聯網的2020年報告中,詳細介紹了影子物聯網的興起以及攻擊風險。到2020年初,受阻止的惡意軟件嘗試次數為每月14,000次,高于2019年5月的2,000件基于物聯網的惡意軟件,而不到一年的時間增加了7倍。
防范影子物聯網的威脅
對于影子物聯網或針對連接設備的黑客來說,IT和安全領導者并非無能為力。專家建議組織通過未遵循的人員、流程和技術政策來控制未經批準的設備帶來的風險。
Howard說:“可見性是預防或補救影子物聯網問題的第一步。組織必須了解什么設備已連接到其網絡,然后才能有效應對挑戰。”
企業IT和安全主管必須確定應使用哪些策略來管理連接到組織網絡的設備。他們還應使用IP地址管理工具等技術來創建連接到網絡的設備清單。然后,他們可以使用自動化和威脅情報來執行策略并防御黑客。
組織必須從一開始就建立安全性和有效的管理。Howard表示,市場上有以物聯網為重點的工具,它們可以提供可視性,并提供有關特定物聯網設備帶來的風險的場景。
組織可以開發和應用基于策略的方法來隔離或阻止試圖連接到公司網絡的未知IT和物聯網設備。這樣,許多組織可以批準未知的設備連接,但只能批準到專門針對無法訪問組織資源的不受信任設備的網段。
