物聯網設備安全性及其對遠程工作的影響
圖片來源:https://pixabay.com/images/id-5096394/
互聯系統正在協助組織從辦公室向家庭工作轉變。對許多人而言,這種轉變并不是出于選擇,而是必然。然而,這些互聯系統、物聯網(IoT)和智能設備如果沒有得到應有的考慮和適當的管理,可能會對安全產生深遠影響。
漏洞正在擴大,安全措施必須到位
向遠程工作的轉變意味著辦公室提供的強大安全性已經發生了變化,隨著我們所有的遠程工作場所(家庭)和使用的多種設備(物聯網和智能設備)和服務的增加,易受攻擊的范圍擴大了。黑客們正在利用這一轉變所帶來的漏洞,而組織正以以前沒有注意到的方式將其漏洞暴露出來。
從家用電器到聯網汽車,我們家里安裝了各種各樣的物聯網設備,而且這種情況并不少見。人們使用健康和醫療設備、環境控制、游戲和媒體設備以及攝像頭和安全系統,而黑客則正在利用這些不斷增加的載體發起攻擊。
此外,大多數情況下,安全協議仍局限于辦公室,并且員工在不了解所面臨的安全威脅的情況下采用技術,使用設備和服務。許多技術和服務沒有為這種轉變和服務的大規模使用做好準備,而且許多技術和服務缺乏保護用戶及其組織所需的必要安全性。
特別值得注意的是,隨著許多設備相互連接并自動相互通信,包括更新、監測、管理和保護在內的工作仍然是事后才想到的,或者被人們完全忽略了。
物聯網設備在我們的家庭和辦公室中共存,為了改善我們的安全態勢,組織需要采取積極的安全防護措施。
物聯網設備缺乏安全性
物聯網具有巨大的潛力,然而,在大多數情況下,它缺乏必要的安全措施,這可能會影響組織的安全性。物聯網設備是黑客可以竊取有價值信息的絕佳途徑。
由于物聯網設備已成為主流,而且不注重安全性,因此組織需要優先獲得物聯網設備的可見性。由于這些設備的功能是提供可訪問性和連接性,因此,不安全的物聯網設備可能會危害組織的整個網絡。此外,如果遠程工作人員的設備連接到公司網絡,則公司可能容易受到攻擊。
此外,并非所有員工都精通技術,這意味著安全性并不是他們工作的重點。他們不會更改默認密碼,也不會意識到威脅和風險,因此員工本身往往是最大的安全漏洞。
物聯網安全風險
物聯網設備缺乏安全指導,因此很難保護。對于制造商來說,尤其是在開發初期,設備的安全性并不是優先考慮的問題。許多設備在推出時都是使用默認密碼,而且用戶也沒有對其進行更改。這導致了安全問題,而且許多設備(“定時炸彈”)留在家里并向黑客開放。由于許多設備天生并不安全,因此它們需要手動進行安全更新,然而大多數情況下,用戶不會對這些設備進行安全更新。由于缺乏物聯網方面的教育和提供的安全指導不足,這一問題至今仍然存在。
必須評估物聯網通過遠程工作給組織帶來的風險。組織需要評估每個物聯網設備可能對數據的機密性、完整性和可用性造成的風險。公司應采取適當的控制措施,并確保接入點的安全。
保護措施
培訓
確保員工了解物聯網設備給公司、其網絡和數據帶來的風險和漏洞。對員工進行數據安全及其重要性的培訓。培訓家庭網絡風險以及確保所有設備和服務(包括屬于兒童的設備和服務)不使組織面臨與安全相關問題的重要性。
遠程工作人員的責任
對于組織來說,有效地管理員工家中的安全性具有挑戰性。因此,對于物聯網,遠程工作的員工應該承擔一定程度的責任來改善其家庭網絡的安全態勢。每個人都應發揮作用,以確保足夠的安全性。
本質上,在家里,員工需要在一定程度上承擔其物聯網系統的IT技術員和評估員的角色。這與培訓密不可分。因此,需要對員工進行各方面的培訓,包括更改設備和路由器默認密碼的重要性,例如,使用多因素身份驗證(MFA),以及關于密碼使用和管理的最佳實踐。告知他們采取措施,例如在公司通話期間關閉智能揚聲器,以及將其家庭網絡分段以將物聯網設備與公司資產分開的好處,都是朝著正確方向邁出的一步。此外,對未遂攻擊保持警惕,包括網絡釣魚未遂和針對物聯網的攻擊以及物聯網安全威脅和風險。
監控服務
要求遠程用戶使用遠程監控軟件。對于某些人來說,這似乎是一種最常用的方法,但是對于遠程工作,這是一種漸進的安全措施。服務可以主動監測行為并發現任何異常情況。通過數據收集和分析,可以為每個用戶配置文件識別“正常行為”,并且可以檢測到任何異常行為并采取措施。此外,可以在訪問或復制特定數據時設置警報。這是防止數據丟失的有效措施。
身份和訪問管理控制
獲得物聯網設備的可見性對于有效地管理和保護它們至關重要。如果處理得當,將會實現強大的身份和訪問管理控制,并監測流經物聯網系統的敏感數據。
避免自動信任設備
作為提高物聯網設備可見性的一部分,默認情況下,不得信任連接到組織網絡的設備。信任決策應該基于設備的連接位置及其目的或功能。應持續評估設備的價值及其帶來的潛在風險,并就其要求做出決定。
管理權限
雖然工作人員是遠程的,但是可以通過管理權限來適當地管理對數據的訪問。確定誰需要訪問哪些數據,并根據需要限制訪問。切記要考慮最低權限規則,不要允許超出工作職能所需的訪問權限。一種更合理的方法是在適當時候根據請求允許訪問,而不是默認情況下允許所有員工擁有完全訪問權限。
物聯網設備的家庭網絡策略
對于組織而言,禁止遠程工作人員在其家庭網絡上使用物聯網設備可能不合適。然而,由于物聯網設備在員工家中使用,因此在遠程/家庭工作人員的政策中強調物聯網設備在訪問組織網絡之前必須滿足的安全要求是有益的。這方面的培訓至關重要。除了將其納入政策之外,還必須對員工進行有關此方面的培訓,并讓他們意識到自己在這方面的責任。在督促員工遵守這一政策的同時,公司還應相應地調整網絡。因此,組織需要確保對員工進行有關物聯網設備和安全意識的必要培訓。
加密
為遠程工作人員提供加密網絡,這是引入額外安全層的有效方法。請記住,分層防御通常可以提高安全性。每一層都有自己獨特的控制,它們共同提供了一個穩健的安全解決方案。使用虛擬專用網可以在訪問時保護網絡,因為所有連接和通信都經過加密。因此,無論員工家中的物聯網連接如何,虛擬專用網都可以通過加密來提供高安全級別。
主動的安全方法
遠程工作擴展了物聯網生態系統。黑客利用家庭設置的弱認證來鎖定網絡和有價值的數據,并利用我們家庭中的物聯網設備作為跳板,以獲取對組織資產的訪問權限。這導致組織的攻擊面不斷擴大。物聯網設備受到攻擊的可能性很高。從這一點來看,惡意軟件可能會從設備轉移到員工的終端設備,并在組織內部橫向傳播。如果不能有效地管理此漏洞,則后果可能是災難性的。
由于遠程工作人員訪問他們的家庭網絡,在那里可能集成很多物聯網設備,因此組織必須從不同角度來考慮安全性,以了解物聯網設備如何影響組織。也因此,組織必須優先考慮確保遠程工作人員有效保護網絡的方法。(編譯iothome)
