图片来源:https://pixabay.com/images/id-5096394/连接的系统正在帮助组织从办公室过渡到家庭工作。对于许多人来说,这种转变不是出于选择,而是必然。然而,如果不给予适当的考虑和适当的管理,这些连接的系统、物联网(IoT)和智能设备可能会产生深远的安全隐患。漏洞正在扩大,安全措施必须到位向远程工作的转变意味着办公室提供的强大安全性已经发生变化,我们所有的远程工作场所(家庭)和使用的多种设备(物联网和智能设备)以及服务增加,漏洞范围扩大。黑客正在利用这种转变造成的漏洞,而组织正在以他们以前没有注意到的方式暴露他们的漏洞。从家用电器到联网汽车,我们家中安装了各种各样的物联网设备并不少见。人们使用健康和医疗设备、环境控制、游戏和媒体设备以及摄像头和安全系统,黑客正在使用这些不断增长的媒介发起攻击。此外,在大多数情况下,安全协议仍然局限于办公室,员工在不了解他们面临的安全威胁的情况下采用技术、使用设备和服务。许多技术和服务还没有为这种转变和服务的大规模使用做好准备,而且许多技术和服务缺乏保护用户及其组织所需的必要安全性。特别值得注意的是,随着许多设备自动连接并相互通信,包括更新、监控、管理和保护在内的任务仍然是事后才想到或完全被忽略。物联网设备在我们的家庭和办公室共存,为了改善我们的安全状况,组织需要采取主动的安全措施。物联网设备缺乏安全性物联网具有巨大的潜力,但在大多数情况下,它缺乏必要的安全措施,这可能会影响组织的安全性。物联网设备是黑客窃取有价值信息的绝佳途径。随着物联网设备成为主流并且不太关注安全性,组织需要优先考虑获得对物联网设备的可见性。由于这些设备的功能是提供可访问性和连接性,不安全的物联网设备可能会危及组织的整个网络。此外,如果远程工作人员的设备连接到公司网络,公司可能容易受到攻击。此外,并非所有员工都精通技术,这意味着安全并不是他们的首要任务。他们不更改默认密码,也不知道威胁和风险,因此员工本身往往是最大的安全漏洞。IoT安全风险IoT设备缺乏安全指南,因此难以确保其安全。对于制造商来说,尤其是在开发的早期阶段,设备安全并不是一个高度优先考虑的问题。许多设备都是使用默认密码启动的,用户没有更改它们。这会导致安全问题,并且许多设备(“定时炸弹”)留在家中并向黑客开放。由于许多设备本质上是不安全的,因此它们需要手动安全更新,但在大多数情况下用户不会更新这些设备。由于缺乏物联网教育和提供的安全指导不足,这个问题今天仍然存在。必须评估物联网通过远程工作给组织带来的风险。组织需要评估每个物联网设备可能对数据的机密性、完整性和可用性构成的风险。公司应实施适当的控制和安全访问点。保障培训确保员工了解物联网设备给公司、公司网络和数据带来的风险和漏洞。就数据安全及其重要性对员工进行培训。对家庭进行网络风险教育并确保所有设备和服务(包括属于儿童的设备和服务)不会使组织面临安全相关问题的重要性。远程工作人员的职责组织要有效地管理员工家中的安全可能具有挑战性。因此,对于物联网,远程工作的员工应该承担一定程度的责任,以改善其家庭网络的安全状况。每个人都有责任确保足够的安全。从本质上讲,在家里,员工需要在某种程度上承担IT技术人员和物联网系统评估员的角色。这离不开训练。因此,员工需要接受各方面的培训,包括更改设备和路由器默认密码的重要性,例如使用多因素身份验证(MFA),以及密码使用和管理的最佳实践。告知他们采取措施的好处,例如在公司通话期间关闭智能扬声器以及将他们的家庭网络分段以将IoT设备与公司资产分开,这些都是朝着正确方向迈出的步骤。此外,还要警惕未遂攻击,包括未遂网络钓鱼和针对物联网的攻击以及物联网安全威胁和风险。监控服务需要远程用户使用远程监控软件。对某些人来说,这似乎是最常见的方法,但在远程工作方面,这是一种渐进的安全措施。服务可以主动监控行为并发现任何异常情况。通过数据收集和分析,可以为每个用户配置文件识别“正常行为”,并且可以检测到任何异常行为并采取行动。此外,还可以在访问或复制特定数据时设置警报。这是防止数据丢失的有效措施。身份和访问管理控制获得对物联网设备的可见性对于有效管理和保护它们至关重要。如果处理得当,它将实现强大的身份和访问管理控制以及对流经物联网系统的敏感数据的监控。避免自动信任设备作为提高IoT设备可见性的一部分,默认情况下不得信任连接到组织网络的设备。信任决策应基于设备的连接位置及其用途或功能。应持续评估设备的价值及其带来的潜在风险,并就其要求做出决定。管理权限尽管工作人员在远程,但可以通过管理权限适当地管理对数据的访问。确定谁需要访问哪些数据并根据需要限制访问。请记住考虑最小特权规则,并且不允许超过工作职能所需的访问权限。一种更合乎逻辑的方法是在适当的时候根据请求允许访问,而不是默认允许所有员工完全访问。物联网设备的家庭网络政策组织禁止远程工作人员在其家庭网络上使用物联网设备可能不合适。然而,由于IoT设备在员工家中使用,因此在针对远程/家庭员工的政策中强调IoT设备在访问组织网络之前必须满足的安全要求是有益的。这方面的培训至关重要。除了将此作为一项政策外,员工还必须接受这方面的培训,并了解他们在这方面的责任。在敦促员工遵守这一政策的同时,企业也应相应调整网络。因此,组织需要确保员工接受有关物联网设备和安全意识的必要培训。加密为远程工作人员提供加密网络是引入额外安全层的有效方式。请记住,分层防御通常可以提高安全性。每一层都有自己独特的控制,它们共同提供了一个强大的安全解决方案。使用VPN可在访问网络时保护网络,因为所有连接和通信均已加密。因此,无论员工家中的物联网连接如何,VPN都可以通过加密提供高级别的安全性。一种主动、安全的远程工作方法扩展了物联网生态系统。黑客利用家庭设置中的弱身份验证来锁定网络和有价值的数据,并使用我们家中的物联网设备作为跳板来访问组织资产。这导致组织的攻击面不断扩大。物联网设备被攻击的可能性很高。从这一点来看,恶意软件可以从设备移动到员工的端点,并在组织内横向传播。如果不有效管理此漏洞,后果可能是灾难性的。当远程工作人员访问可能集成了许多物联网设备的家庭网络时,组织必须从不同的角度考虑安全性,以了解物联网设备如何影响组织。因此,组织必须优先考虑确保远程工作人员有效保护网络的方法。(编译iothome)
