企业越来越多地在其业务中使用物联网设备并不是一件坏事。它们有助于提高员工的工作效率、优化有限的资源,甚至可以自动执行繁琐而平凡的任务。但它带来的好处仍然不能消除物联网设备给企业带来的风险。物联网安全神话随着企业加强业务各个方面的安全性,人仍然是最薄弱的环节,他们很容易忽视物联网网络的安全性,因为它们是基于技术的。然而,用能够更好地执行任务的远程工具和设备代替体力任务并不总是完美的解决方案。企业通常会采用一些物联网设备,比如办公室部署的物联网设备越多,需要检查的锁、钥匙和安全摄像头就越多。虽然这些设备旨在支持网络安全,例如笔记本电脑、平板电脑和台式机,但物联网设备并不安全,企业不能依赖物联网制造商提供的安全功能来保护它们。将需要进行更多更改。在过去几年中,全球70%的组织和机构遭受了基于物联网的网络攻击。一个典型的安全事件是赌场的数据库从其鱼缸温度计中被黑客入侵。这不是使用复杂技术秘密访问网络的情况。这种方法比较简单,因为温度计是一个连接互联网和赌场内部网络的物联网设备。除了经常使物联网设备容易受到网络攻击的疏忽之外,它们的生产通常注重生产力和便利性,而没有将安全放在首位。(1)有限的计算能力大多数物联网设备最多只能完成一些任务。由于任务通常非常简单并且不需要大量计算能力,因此制造商不会为了保持价格合理而压倒他们的设备。然而,适当的安全措施通常需要足够的计算能力才能有效。(2)旧的操作系统和缺乏更新由于物联网设备所需的功能不会随着时间的推移而改变,因此大多数物联网设备制造商不会持续向设备发送操作系统更新。这使他们容易受到各种网络攻击。(3)物理安全性差网络攻击者如果获得物联网设备的访问权限,就可以直接访问其所在的网络。与携带敏感文件和数据的员工笔记本电脑和平板电脑不同,物联网设备通常没有那么严密的保护,并且安装在偏远地区并且长时间无人监管。缺乏物理安全性使设备面临被篡改和安装恶意软件或间谍软件的高风险,无论是通过破坏设备还是直接通过其端口。(4)不安全的通信协议大多数物联网设备在设备本身、云计算服务和企业主网络之间传输数据时不使用安全通信协议。例如,一些中间人(MITM)攻击利用不安全的密钥交换做法来拦截和访问传输中的数据。如何保护物联网设备即使物联网设备在使用中有很多缺点,但这并不一定意味着它们无法解决和克服。组织可以采取多种方法来保护物联网设备并最大限度地降低风险,这些方法的复杂性和重要性各不相同。(1)更改密码密码登录和多重身份验证似乎是显而易见的第一步,但47%的IT专业人员在将IoT设备连接到其内部网络时不会更改其默认密码和设置。适用于帐户和设备密码的规则同样适用于IoT设备:每30到90天更改一次密码。在不同情况下的密码中使用随机字母、数字和符号的复杂组合。使用双因素或多因素身份验证。使用密码管理器——或完全放弃纸质密码以进行无密码登录。避免通过不安全的通信渠道在员工之间共享密码。(2)远离开放的互联网物联网设备只有在连接到更大的网络或设备或云平台时才能正常工作。但是,最好将物联网设备严格连接到企业内部网络,而不是开放的互联网。这是因为,根据NETSCOUT发布的一项威胁情报调查,物联网设备在连接到互联网约五分钟后就容易受到网络攻击。(3)注意自动连接选项默认情况下,大多数物联网和智能设备都有自动连接到网络的选项。这本身对普通人来说就是一种安全隐患,同时也可能增加企业被物联网网络攻击的风险。大约三分之二的全球公司看到超过1,000台公司或个人物联网设备连接到他们的内部网络。与企业发布的物联网服务不同,没有办法确保所有这些服务的安全性都得到必要的改进。除了设置障碍以防止未经授权的物联网设备连接到网络之外,还可以考虑实施监控系统。企业可以使用它来密切关注设备的所有健康状况,并在出现异常情况(例如异常数据流)时发出警报。(4)禁用所有不必要的功能大多数物联网设备都启用了许多默认设置,以方便和提高生产力而不是安全性。将新的物联网设备添加到网络后,需要检查其设置和附加功能,并且需要禁用任何未使用的功能。物联网设备提供的任何类型的数据或附加服务都可能成为潜在的安全漏洞。(5)与面向安全的物联网制造商合作对于物联网设备,软件更新频率较低。更新时,企业通常专注于改进用户界面或实施一两个新功能。通过仅从以安全为导向的制造商处采购物联网设备,您还可以确保定期更新,其中包括安全更新以及已修复错误和漏洞的报告。
