如果没有政策和可见的物联网技术清单,组织会将其网络和数据置于未经授权访问本质上不安全的设备的风险之中。组织领导者每年部署数百万台设备来构建他们的IoT部署,但他们并不是唯一连接到组织网络的设备。员工还在工作场所部署了数量惊人的智能设备,其中许多是在未经许可的情况下使用的。这种趋势被称为影子物联网,它会使组织面临风险。与影子IT一样,影子物联网也会带来安全风险,因为IT团队和IT安全无法看到设备,也无法监控或保护不可见的内容。技术市场咨询公司ABIResearch的数字安全研究主管MichelaMenting表示:“它对组织构成了严重威胁,因为它为恶意流量提供了一个载体,很容易被检测到。”对于IT和安全主管来说,使用并不是什么新鲜事,几十年来他们一直在与影子IT作斗争。专家将影子IT定义为未经技术部门授权或批准,也未经安全团队审查的硬件和软件的实施和使用。影子物联网扩大了IT和安全领导者面临的挑战。他们必须平衡对使工人的工作更轻松的技术的支持与保护免受网络安全威胁。全球网络安全组织KudelskiSecurity的首席执行官安德鲁霍华德说:“个人通常很容易在他们不知情或未经批准的情况下将联网设备或设备网络添加到公司网络。”,用户添加这些设备是为了个人方便或帮助他们完成工作,而没有意识到他们可能会给公司环境增加风险。通常,用户添加这些设备是为了个人方便或帮助他们完成工作而不知情他们是绝大多数这些设备的设计并不安全。”在IT自动化和安全供应商Infoblox的一份名为《潜伏在网络上的是什么:暴露影子设备的威胁》的报告中,最常见的影子物联网设备类型是健身追踪器、数字助理(如亚马逊的Alexa)、智能电视、智能厨房电器(如联网微波炉)、和游戏机,例如Xbox和PlayStation。其他影子物联网设备可能包括无线打印机、无线恒温器和监控摄像头,设施部门或员工无需IT或安全专业人员即可轻松安装这些设备。一些组织还发现员工可以连接到智能扬声器、联网灯和RaspberryPi硬件。Infoblox产品营销副总裁AnthonyJames表示,RaspberryPi是一款小型单板计算机,用户可以配置它来执行许多任务。“它更多地归结为人们连接的个人物品——不需要很多技术知识的设备。所有这些设备都有IP地址,它们已经成为许多组织的一大盲点,”詹姆斯添加。影子物联网如何威胁组织智能手表和联网设备看似无害,但专家强调影子物联网会给组织带来重大风险。最令人担忧的是设备本身通常缺乏嵌入式安全性。“由于容量低、计算资源不足或电池有限,许多物联网设备缺乏基本的安全功能,无论是嵌入式硬件安全还是安全软件,”Menting说。“这意味着它们很容易被颠覆或拦截。”黑客可以利用缺乏嵌入式安全性作为进入组织网络的入口点,在该网络中,权限提升使他们对更敏感信息的访问受到更多限制。Menting说,漏洞和物联网设备数量的整体增加进一步诱使不良行为者妥协或将设备作为僵尸网络和拒绝服务或分布式拒绝服务攻击的目标。这不是一个假设的场景;此类袭击已经发生。黑客在2017年通过连接互联网的鱼缸访问北美赌场的网络后窃取了10GB的数据。专家预计,针对物联网的攻击次数和这些攻击的复杂程度会随着连接设备的数量而增加。云安全组织Zscaler的研究机构ThreatLabZ在其2020年企业物联网报告中详细介绍了影子物联网的兴起和攻击风险。2020年初每月阻止的恶意软件尝试为14,000次,高于2019年5月的2,000次基于物联网的恶意软件尝试,并且在不到一年的时间内增加了七倍。抵御影子物联网威胁IT和安全领导者在涉及影子物联网或针对连接设备的黑客时并非无能为力。专家建议组织通过未遵循的人员、流程和技术政策来控制未经批准的设备带来的风险。霍华德说:“可见性是预防或修复影子物联网问题的第一步。组织必须先了解哪些设备连接到他们的网络,然后才能有效应对挑战。”企业IT和安全领导者必须确定应使用哪些策略来管理连接到组织网络的设备。他们还应该使用IP地址管理工具等技术来创建连接到网络的设备清单。然后,他们可以使用自动化和威胁情报来执行策略并抵御黑客攻击。组织必须从一开始就建立安全和有效的治理。霍华德说,市场上有以物联网为中心的工具,可以提供可见性并提供特定物联网设备带来的风险的背景信息。组织可以开发和应用基于策略的方法来隔离或阻止尝试连接到企业网络的未知IT和物联网设备。这允许许多组织批准未知设备连接,但仅限于专用于无法访问组织资源的不受信任设备的网段。
