隨著越來越多的物聯網設備和智能硬件涌入企業IT環境,舊的企業網絡安全邊界消失,企業的IT團隊正面臨全新的風險。
安全公司Tripwire近日對400多位IT專業人士和300多位CIO進行調查后發現,企業正面臨企業網絡與物聯網“交叉感染”的安全風險;但更糟糕的是,企業管理層對物聯網安全的重視程度遠遠不夠。
警惕物聯網的“交叉感染”
根據Tripwire的報告,那些SOHO辦公的員工的家庭網絡中平均有11個物聯網設備,包括智能手機、智能路由、打印機、智能電視、智能吸塵器、智能插座等等。
根據安全牛之前的報道, 家庭路由器已經成為黑客的重點目標 ,而與路由器相連的家庭智能設備通常安全性都非常差(參考閱讀: AVtest,多數智能家居產品都門戶大開 )
這意味著員工個人設備的安全威脅將有可能通過 BYOD 的方式交叉感染,成為企業網絡的安全隱患。根據Tripwire的報告,25-50%的遠程辦公員工和IT人員都在企業網絡中接入了至少一個物聯網設備。四分之三的受訪者從家庭網絡訪問企業文檔。
新的黑客攻擊手段使得物聯網交叉感染的威脅變得比過去任何時候都可怕,例如今年爆出的影響全球數十億設備的BadUSB漏洞,理論上任何擁有USB接口的設備都可以成為攻擊工具,英國衛報甚至還 報道 過電子香煙的通過USB充電傳播惡意軟件。
被管理層忽視的最大安全隱患
Tripwire的物聯網安全報告顯示,63%的C-level高級管理者表示愿意嘗試使用物聯網技術提升生產力,但是只有27%的高級管理者關心物聯網相關安全問題。當管理層將信息安全風險與其他業務風險進行對比時,安全風險的優先級總是很低。但是企業的信息安全專業人士卻不這樣認為,根據報告, 受訪大中型企業的IT人員中,59%認為物聯網將成為企業網絡中最大的安全風險。
安全公司Duo Security的物聯網安全項目經理Mark Stanishlav認為,目前市場上的大量物聯網智能硬件產品出自眾籌創業項目,這些眾籌創業團隊對安全幾乎一無所知。
與物聯網產品極差的安全性相對應,企業對物聯網安全威脅顯然也為做好準備。根據SANS的物聯網安全報告,接近半數的企業信息安全經理并不知道如何建立自己的物聯網安全防御體系。這些都為物聯網惡意軟件的交叉感染提供了絕佳的時間窗口。
京公網安備 11010502049343號