“影子物聯(lián)網(wǎng)”:日益增長的企業(yè)安全盲區(qū)
在管理“影子物聯(lián)網(wǎng)”的風險方面,企業(yè)、制造商和立法者需要發(fā)揮各自的作用。
研究表明,在今年秋季,可能只有三分之一的員工返回辦公室工作,而在可預見的未來,將有大量的員工繼續(xù)在家遠程工作。這種變化要求企業(yè)引入大量新的政策和程序來適應,尤其是在企業(yè)安全領域。
多年來,業(yè)內人士預測物聯(lián)網(wǎng)設備的數(shù)量將會激增。軟銀集團首席運營官Marcelo Claure在2018年表示,到2025年,地球上的每個人將平均擁有100臺物聯(lián)網(wǎng)設備。更重要的是,在未來三年內,企業(yè)的物聯(lián)網(wǎng)支出將增加96%。
隨著發(fā)生的疫情促使在家遠程工作的員工購買更多的辦公設備,對物聯(lián)網(wǎng)設備的需求也在加快。然而,從WiFi路由器、無線mesh網(wǎng)絡到智能音箱以及以健康為重點的可穿戴設備,這種新的物聯(lián)網(wǎng)購買浪潮可能會破壞業(yè)務的安全性,因為業(yè)務環(huán)境本身就是員工的家庭。
企業(yè)的物聯(lián)網(wǎng)設備的安全性如何?
員工在家工作而購買的大多數(shù)物聯(lián)網(wǎng)設備相對成本低廉,由于是面向普通消費者,通常在硬件或軟件層面很少對其進行安全保護。
此外,企業(yè)IT團隊無法了解員工擁有的設備或他們已采取(或未采取)的安全措施。由于15%的物聯(lián)網(wǎng)設備所有者仍然使用默認密碼,很多員工使用易受攻擊的設備。
而且,當這些設備駐留在同一個網(wǎng)絡上,而其網(wǎng)絡正被企業(yè)員工用于電子郵件、文件共享和訪問受保護的數(shù)據(jù)時,出現(xiàn)的安全漏洞將成為威脅業(yè)務的一個主要問題。惡意攻擊者可以訪問更多與物聯(lián)網(wǎng)設備相關的攻擊面,包括硬件、網(wǎng)絡、API和接口。
由于在短期內沒有跡象表明企業(yè)全面復工復產,政府、制造商、IT安全團隊和員工都需要在減輕這些風險方面發(fā)揮作用。
企業(yè)IT的物聯(lián)網(wǎng)安全
好消息是,物聯(lián)網(wǎng)設備的安全原則與一般應用于其他設備和數(shù)據(jù)的原則相似。
鑒于這些設備不在IT和運營團隊的管理范圍內,因此它們必須安裝可以提供端點保護和監(jiān)視邊緣設備的安全工具,而盡早進行入侵防御和檢測仍然是避免遭到破壞的優(yōu)秀方法。
加密和其他安全應用程序應該在企業(yè)IT設備上進行評估,而其IT設備與消費者物聯(lián)網(wǎng)設備將部署在同一網(wǎng)絡上。它們是第一道防線,需要提供安全的措施,如上所述,這些設備經(jīng)常不作為標準設備提供。
企業(yè)應針對上述攻擊面評估其漏洞,并采取相應的措施,例如對企業(yè)網(wǎng)絡上的設備實施更嚴格的實時身份驗證過程。
員工教育和基本網(wǎng)絡安全培訓和意識在降低風險方面也發(fā)揮著重要作用。例如,將物聯(lián)網(wǎng)設備連接到單獨的網(wǎng)絡會使網(wǎng)絡攻擊更加困難,因此要求員工在網(wǎng)絡級別將工作和消費設備分開將會產生重大影響。
而提高加密意識也是另一個員工必須做到的事情,至少可以要求員工檢查并重置物聯(lián)網(wǎng)設備上的默認密碼。
制造商必須采取措施保護設備
物聯(lián)網(wǎng)設備制造商本身也需要采取長期安全措施。即使其產品不受其所在市場中保護物聯(lián)網(wǎng)設備安全的法律要求也要如此。
即使違規(guī)行為是無意的,物聯(lián)網(wǎng)設備制造商也可能面臨巨大的聲譽損失、知識產權受損、消費者信任喪失,以及設計不良的結果。
設備級身份管理是保證物聯(lián)網(wǎng)安全的關鍵。泄露密碼是獲得未經(jīng)授權訪問設備的最簡單和最常見的方式,這就是立法通常針對這一領域的原因。
良好的憑據(jù)管理看起來像是出廠時設置的唯一防篡改硬件標識符,具有唯一的復雜密碼和安全的密碼重置過程。存儲的每個密碼還應使用行業(yè)標準的哈希函數(shù)和唯一的Salt值。如果可能的話,還需要使用雙因素身份驗證方法。
外部網(wǎng)絡連接的數(shù)量應保持在設備運行所需的最小數(shù)量,以便限制和控制接入點。這也適用于物理接入點,制造商用于測試或調試設備的所有接口和端口都應移除。
許多物聯(lián)網(wǎng)設備制造商已經(jīng)開始認真對待這一問題,但對于那些沒有認真對待的制造商來說,這個問題最終會受到監(jiān)管機構的處罰。
各國政府必須制定基本的物聯(lián)網(wǎng)安全標準
員工分布在多個國家和地區(qū)的企業(yè)通常會面臨物聯(lián)網(wǎng)設備安全的零散和混亂的國際監(jiān)管框架的情況。
英國近年來在監(jiān)管方面加大了力度。兩年前,英國推出了消費者物聯(lián)網(wǎng)安全的設計確保安全的實施規(guī)程。這個規(guī)程主要針對制造商,尋求建立常識性的安全標準,包括唯一的默認設備密碼、安全更新的最短時間線,以及公開暴露漏洞的聯(lián)絡點。但是,法律上沒有要求制造商遵守這些準則。
直到2020年1月,英國政府將這些準則編纂為法律,將迫使在英國銷售物聯(lián)網(wǎng)設備的制造商遵循這些準則。這是朝保護消費者(進而擴展為企業(yè))邁出的重要一步,它消除了保護設備安全的責任,并將其交還給制造商。
不幸的是,美國政府沒有這樣做。盡管美國聯(lián)邦調查局警告說,物聯(lián)網(wǎng)設備作為網(wǎng)關到同一網(wǎng)絡上的筆記本電腦等主要設備存在風險,但美國仍沒有制定相應的法規(guī)。
2018年,加利福尼亞州成為美國第一個根據(jù)SB-327規(guī)范物聯(lián)網(wǎng)設備的州,要求采取與上述英國法律相同的許多措施。其法規(guī)于2020年1月生效。但是對于在美國大部分地區(qū)開展業(yè)務的企業(yè)而言,物聯(lián)網(wǎng)風險似乎是不可避免的。
物聯(lián)網(wǎng)安全是集體責任
由于生態(tài)系統(tǒng)仍處于初級階段,因此沒有一種靈丹妙藥來確保物聯(lián)網(wǎng)設備的安全。而制造商、立法者、企業(yè)和員工都有責任來管理和監(jiān)控物聯(lián)網(wǎng)的風險。
但是,通過采取其中一些措施,企業(yè)可以加強網(wǎng)絡安全性,并且不受消費者物聯(lián)網(wǎng)的威脅。這樣他們就可以利用更多增加財富的機會。
