研究表明,在今年秋季,可能只有三分之一的員工返回辦公室工作,而在可預見的未來,將有大量的員工繼續在家遠程工作。這種變化要求企業引入大量新的政策和程序來適應,尤其是在企業安全領域。
多年來,業內人士預測物聯網設備的數量將會激增。軟銀集團首席運營官Marcelo Claure在2018年表示,到2025年,地球上的每個人將平均擁有100臺物聯網設備。更重要的是,在未來三年內,企業的物聯網支出將增加96%。
隨著發生的疫情促使在家遠程工作的員工購買更多的辦公設備,對物聯網設備的需求也在加快。然而,從WiFi路由器、無線mesh網絡到智能音箱以及以健康為重點的可穿戴設備,這種新的物聯網購買浪潮可能會破壞業務的安全性,因為業務環境本身就是員工的家庭。
企業的物聯網設備的安全性如何?
員工在家工作而購買的大多數物聯網設備相對成本低廉,由于是面向普通消費者,通常在硬件或軟件層面很少對其進行安全保護。
此外,企業IT團隊無法了解員工擁有的設備或他們已采取(或未采取)的安全措施。由于15%的物聯網設備所有者仍然使用默認密碼,很多員工使用易受攻擊的設備。
而且,當這些設備駐留在同一個網絡上,而其網絡正被企業員工用于電子郵件、文件共享和訪問受保護的數據時,出現的安全漏洞將成為威脅業務的一個主要問題。惡意攻擊者可以訪問更多與物聯網設備相關的攻擊面,包括硬件、網絡、API和接口。
由于在短期內沒有跡象表明企業全面復工復產,政府、制造商、IT安全團隊和員工都需要在減輕這些風險方面發揮作用。
企業IT的物聯網安全
好消息是,物聯網設備的安全原則與一般應用于其他設備和數據的原則相似。
鑒于這些設備不在IT和運營團隊的管理范圍內,因此它們必須安裝可以提供端點保護和監視邊緣設備的安全工具,而盡早進行入侵防御和檢測仍然是避免遭到破壞的最佳方法。
加密和其他安全應用程序應該在企業IT設備上進行評估,而其IT設備與消費者物聯網設備將部署在同一網絡上。它們是第一道防線,需要提供安全的措施,如上所述,這些設備經常不作為標準設備提供。
企業應針對上述攻擊面評估其漏洞,并采取相應的措施,例如對企業網絡上的設備實施更嚴格的實時身份驗證過程。
員工教育和基本網絡安全培訓和意識在降低風險方面也發揮著重要作用。例如,將物聯網設備連接到單獨的網絡會使網絡攻擊更加困難,因此要求員工在網絡級別將工作和消費設備分開將會產生重大影響。
而提高加密意識也是另一個員工必須做到的事情,至少可以要求員工檢查并重置物聯網設備上的默認密碼。
制造商必須采取措施保護設備
物聯網設備制造商本身也需要采取長期安全措施。即使其產品不受其所在市場中保護物聯網設備安全的法律要求也要如此。
即使違規行為是無意的,物聯網設備制造商也可能面臨巨大的聲譽損失、知識產權受損、消費者信任喪失,以及設計不良的結果。
設備級身份管理是保證物聯網安全的關鍵。泄露密碼是獲得未經授權訪問設備的最簡單和最常見的方式,這就是立法通常針對這一領域的原因。
良好的憑據管理看起來像是出廠時設置的唯一防篡改硬件標識符,具有唯一的復雜密碼和安全的密碼重置過程。存儲的每個密碼還應使用行業標準的哈希函數和唯一的Salt值。如果可能的話,還需要使用雙因素身份驗證方法。
外部網絡連接的數量應保持在設備運行所需的最小數量,以便限制和控制接入點。這也適用于物理接入點,制造商用于測試或調試設備的所有接口和端口都應移除。
許多物聯網設備制造商已經開始認真對待這一問題,但對于那些沒有認真對待的制造商來說,這個問題最終會受到監管機構的處罰。
各國政府必須制定基本的物聯網安全標準
員工分布在多個國家和地區的企業通常會面臨物聯網設備安全的零散和混亂的國際監管框架的情況。
英國近年來在監管方面加大了力度。兩年前,英國推出了消費者物聯網安全的設計確保安全的實施規程。這個規程主要針對制造商,尋求建立常識性的安全標準,包括唯一的默認設備密碼、安全更新的最短時間線,以及公開暴露漏洞的聯絡點。但是,法律上沒有要求制造商遵守這些準則。
直到2020年1月,英國政府將這些準則編纂為法律,將迫使在英國銷售物聯網設備的制造商遵循這些準則。這是朝保護消費者(進而擴展為企業)邁出的重要一步,它消除了保護設備安全的責任,并將其交還給制造商。
不幸的是,美國政府沒有這樣做。盡管美國聯邦調查局警告說,物聯網設備作為網關到同一網絡上的筆記本電腦等主要設備存在風險,但美國仍沒有制定相應的法規。
2018年,加利福尼亞州成為美國第一個根據SB-327規范物聯網設備的州,要求采取與上述英國法律相同的許多措施。其法規于2020年1月生效。但是對于在美國大部分地區開展業務的企業而言,物聯網風險似乎是不可避免的。
物聯網安全是集體責任
由于生態系統仍處于初級階段,因此沒有一種靈丹妙藥來確保物聯網設備的安全。而制造商、立法者、企業和員工都有責任來管理和監控物聯網的風險。
但是,通過采取其中一些措施,企業可以加強網絡安全性,并且不受消費者物聯網的威脅。這樣他們就可以利用更多增加財富的機會。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號