企业、制造商和立法者需要在管理“影子物联网”的风险中发挥作用。研究表明,今年秋天只有三分之一的员工可能会回到办公室,而在可预见的未来,相当多的员工将继续远程工作。这种变化需要企业引入一系列新的政策和程序来适应,尤其是在企业安全领域。多年来,业内人士一直预测物联网设备的数量会激增。软银集团首席运营官MarceloClaure在2018年表示,到2025年,地球上每个人将平均拥有100台物联网设备。更重要的是,企业将在未来三年内将其物联网支出增加96%。随着大流行促使员工在家远程工作以购买更多办公设备,对物联网设备的需求正在加速增长。然而,从WiFi路由器和无线网状网络到智能扬声器和注重健康的可穿戴设备的这一新的物联网购买浪潮可能会破坏企业的安全,这些企业的环境本身就是员工的家。您企业的物联网设备安全吗?员工为在家工作而购买的大多数物联网设备都相对便宜,而且由于它们面向消费者,因此在硬件或软件级别上通常缺乏安全性。此外,企业IT团队无法了解员工拥有哪些设备或他们已采取(或未采取)哪些安全措施。15%的物联网设备所有者仍在使用默认密码,许多员工使用易受攻击的设备。而且,当这些设备驻留在员工用于电子邮件、文件共享和访问受保护数据的同一网络中时,安全漏洞可能成为主要的业务威胁。恶意攻击者可以访问更多与物联网设备相关的攻击面,包括硬件、网络、API和接口。由于短期内没有全面重新开放业务的迹象,政府、制造商、IT安全团队和员工都需要在减轻这些风险方面发挥作用。对于企业IT物联网安全来说,好消息是物联网设备的安全原则与一般适用于其他设备和数据的安全原则相似。鉴于这些设备不在IT和运营团队的权限范围内,他们必须安装能够提供端点保护和监控边缘设备的安全工具,而早期的入侵预防和检测仍然是避免违规的绝佳方式。应在将与消费者物联网设备部署在同一网络上的企业IT设备上评估加密和其他安全应用程序。它们是第一道防线,需要提供一定程度的安全措施,并且如上所述,这些设备通常不作为标准设备提供。组织应针对上述攻击面评估其漏洞并采取适当措施,例如对公司网络上的设备实施更严格的实时身份验证流程。员工教育和基本网络安全培训和意识也在降低风险方面发挥重要作用。例如,将物联网设备连接到单独的网络将使网络攻击更加困难,因此要求员工在网络级别将工作和消费设备分开将产生重大影响。提高加密意识是另一项员工必须做的事情,至少要求员工检查并重置物联网设备上的默认密码。制造商必须采取措施保护设备物联网设备制造商自己需要采取长期安全措施。即使其产品不受法律要求的约束,也无法在其运营的市场中保护物联网设备。即使违规行为是无意的,IoT设备制造商也可能因此面临严重的声誉损害、知识产权受损、消费者信任度下降以及设计不佳等问题。设备级身份管理是保护物联网的关键。破坏密码是获得对设备的未授权访问的最简单和最常见的方式,这就是立法通常针对该领域的原因。良好的凭据管理看起来像工厂设置的独特的防篡改硬件标识符,具有独特的复杂密码和安全的密码重置过程。存储的每个密码还应使用行业标准的哈希函数和唯一的加盐值。如果可能,您还需要使用双因素身份验证方法。外部网络连接的数量应保持在设备运行所需的最少数量,以便限制和控制访问点。这也适用于物理接入点,制造商用于测试或调试设备的所有接口和端口都应移除。许多物联网设备制造商已经开始认真对待这个问题,但对于那些没有认真对待的人来说,这个问题最终可能会受到监管机构的惩罚。政府必须制定基本的物联网安全标准员工分布在多个国家/地区的企业经常面临物联网设备安全的零散和混乱的国际监管框架。英国近年来加强了监管。两年前,英国推出了消费者物联网安全的安全设计实践准则。该指令主要针对制造商,旨在建立常识性安全标准,包括唯一的默认设备密码、安全更新的最短时间表以及公开暴露漏洞的联系点。但是,法律并未要求制造商遵守这些准则。在2020年1月之前,英国政府会将这些准则编纂成法律,这将迫使在英国销售物联网设备的制造商遵守这些准则。这是朝着保护消费者(以及扩展企业)迈出的重要一步,取消了保护设备安全的责任并将它们交还给制造商。不幸的是,美国政府并没有这样做。尽管FBI警告说物联网设备作为同一网络上笔记本电脑等主要设备的网关存在风险,但美国没有出台任何法规。2018年,加利福尼亚州成为美国第一个根据SB-327规范物联网设备的州,要求采取许多与上述英国法律相同的措施。其法规于2020年1月生效。但对于在美国大部分地区开展业务的企业而言,物联网风险似乎不可避免。物联网安全是一项集体责任由于生态系统仍处于起步阶段,因此没有单一的灵丹妙药来保护物联网设备。制造商、立法者、企业和员工都有责任管理和监控物联网风险。但通过采取其中一些步骤,企业可以加强网络安全并免受消费者物联网威胁。这样他们就可以利用更多的机会来增加他们的财富。
