在管理“影子物联网”的风险方面,企业、制造商和立法者需要发挥各自的作用。
研究表明,在今年秋季,可能只有三分之一的员工返回办公室工作,而在可预见的未来,将有大量的员工继续在家远程工作。这种变化要求企业引入大量新的政策和程序来适应,尤其是在企业安全领域。
多年来,业内人士预测物联网设备的数量将会激增。软银集团首席运营官Marcelo Claure在2018年表示,到2025年,地球上的每个人将平均拥有100台物联网设备。更重要的是,在未来三年内,企业的物联网支出将增加96%。
随着发生的疫情促使在家远程工作的员工购买更多的办公设备,对物联网设备的需求也在加快。然而,从WiFi路由器、无线mesh网络到智能音箱以及以健康为重点的可穿戴设备,这种新的物联网购买浪潮可能会破坏业务的安全性,因为业务环境本身就是员工的家庭。
企业的物联网设备的安全性如何?
员工在家工作而购买的大多数物联网设备相对成本低廉,由于是面向普通消费者,通常在硬件或软件层面很少对其进行安全保护。
此外,企业IT团队无法了解员工拥有的设备或他们已采取(或未采取)的安全措施。由于15%的物联网设备所有者仍然使用默认密码,很多员工使用易受攻击的设备。
而且,当这些设备驻留在同一个网络上,而其网络正被企业员工用于电子邮件、文件共享和访问受保护的数据时,出现的安全漏洞将成为威胁业务的一个主要问题。恶意攻击者可以访问更多与物联网设备相关的攻击面,包括硬件、网络、API和接口。
由于在短期内没有迹象表明企业全面复工复产,政府、制造商、IT安全团队和员工都需要在减轻这些风险方面发挥作用。
企业IT的物联网安全
好消息是,物联网设备的安全原则与一般应用于其他设备和数据的原则相似。
鉴于这些设备不在IT和运营团队的管理范围内,因此它们必须安装可以提供端点保护和监视边缘设备的安全工具,而尽早进行入侵防御和检测仍然是避免遭到破坏的优秀方法。
加密和其他安全应用程序应该在企业IT设备上进行评估,而其IT设备与消费者物联网设备将部署在同一网络上。它们是第一道防线,需要提供安全的措施,如上所述,这些设备经常不作为标准设备提供。
企业应针对上述攻击面评估其漏洞,并采取相应的措施,例如对企业网络上的设备实施更严格的实时身份验证过程。
员工教育和基本网络安全培训和意识在降低风险方面也发挥着重要作用。例如,将物联网设备连接到单独的网络会使网络攻击更加困难,因此要求员工在网络级别将工作和消费设备分开将会产生重大影响。
而提高加密意识也是另一个员工必须做到的事情,至少可以要求员工检查并重置物联网设备上的默认密码。
制造商必须采取措施保护设备
物联网设备制造商本身也需要采取长期安全措施。即使其产品不受其所在市场中保护物联网设备安全的法律要求也要如此。
即使违规行为是无意的,物联网设备制造商也可能面临巨大的声誉损失、知识产权受损、消费者信任丧失,以及设计不良的结果。
设备级身份管理是保证物联网安全的关键。泄露密码是获得未经授权访问设备的最简单和最常见的方式,这就是立法通常针对这一领域的原因。
良好的凭据管理看起来像是出厂时设置的唯一防篡改硬件标识符,具有唯一的复杂密码和安全的密码重置过程。存储的每个密码还应使用行业标准的哈希函数和唯一的Salt值。如果可能的话,还需要使用双因素身份验证方法。
外部网络连接的数量应保持在设备运行所需的最小数量,以便限制和控制接入点。这也适用于物理接入点,制造商用于测试或调试设备的所有接口和端口都应移除。
许多物联网设备制造商已经开始认真对待这一问题,但对于那些没有认真对待的制造商来说,这个问题最终会受到监管机构的处罚。
各国政府必须制定基本的物联网安全标准
员工分布在多个国家和地区的企业通常会面临物联网设备安全的零散和混乱的国际监管框架的情况。
英国近年来在监管方面加大了力度。两年前,英国推出了消费者物联网安全的设计确保安全的实施规程。这个规程主要针对制造商,寻求建立常识性的安全标准,包括唯一的默认设备密码、安全更新的最短时间线,以及公开暴露漏洞的联络点。但是,法律上没有要求制造商遵守这些准则。
直到2020年1月,英国政府将这些准则编纂为法律,将迫使在英国销售物联网设备的制造商遵循这些准则。这是朝保护消费者(进而扩展为企业)迈出的重要一步,它消除了保护设备安全的责任,并将其交还给制造商。
不幸的是,美国政府没有这样做。尽管美国联邦调查局警告说,物联网设备作为网关到同一网络上的笔记本电脑等主要设备存在风险,但美国仍没有制定相应的法规。
2018年,加利福尼亚州成为美国第一个根据SB-327规范物联网设备的州,要求采取与上述英国法律相同的许多措施。其法规于2020年1月生效。但是对于在美国大部分地区开展业务的企业而言,物联网风险似乎是不可避免的。
物联网安全是集体责任
由于生态系统仍处于初级阶段,因此没有一种灵丹妙药来确保物联网设备的安全。而制造商、立法者、企业和员工都有责任来管理和监控物联网的风险。
但是,通过采取其中一些措施,企业可以加强网络安全性,并且不受消费者物联网的威胁。这样他们就可以利用更多增加财富的机会。
