物联网(IOT)包括越来越多的连接设备,从安全摄像头到智能恒温器。许多企业使用企业级物联网设备来帮助员工更高效地完成工作,或满足设施管理需求。然而,企业物联网存在一个不足的领域——身份管理。身份管理也称为身份和访问管理(IAM),可确保合适的人员可以访问他们完成工作所需的系统和信息。然而,物联网的一个常见问题是许多相关技术在构建时并未考虑身份管理。凭证滥用是一个问题当人们试图通过绕过现有的访问控制系统来获得或成功获得对系统的访问时,就会发生凭证滥用。有时,当人们无意中做了一些事情来帮助同事时,例如与同事共享密码以避免工作延误,同时等待IT为他们提供密码,这种情况有时会发生。然而,在其他情况下,恶意意图是驱动因素,人们利用身份管理的缺陷来获得他们不应该拥有的访问权限。最近发布的BeyondTrust全球调查发现,64%的受访者认为他们因员工滥用访问权限而直接或间接遭到破坏。然后,为了将这种讨论带到物联网,我们必须认识到许多物联网设备不具备企业级所需的强密码管理。根据ABIResearch的一份报告,到2022年,与身份管理相关的物联网设备收入可能达到215亿美元。一些物联网设备有默认密码身份管理和物联网设备的一个已知问题是,其中一些设备带有用户应该更改的默认密码,但他们从来没有这样做过。根据PositiveTechnologies的调查结果,大约15%的设备密码从未更改过默认值。此外,当人们使用习惯的用户名/密码组合时也会出现问题。更具体地说,PositiveTechnologies的研究表明,十分之一的设备可以通过这些流行组合中的五种进行访问。可以肯定的是,使用默认密码很快就会成为过去。加利福尼亚州立法者通过了一项法律,该法律将于2020年1月1日生效,要求在加利福尼亚州销售或制造的所有连接设备都带有唯一密码。这是朝着正确方向迈出的一步,特别是考虑到大多数公司可能不会只为加州制造一些设备。但是,如果企业中的每个人都知道设备的唯一密码并使用它,身份管理仍然行不通。可能有些人不应该访问物联网设备,但通过知道密码并使用它,他们拥有不必要的特权。个人虚拟助理始终在倾听与IoT设备和IAM相关的另一个问题是,大多数带有个人助理组件的IoT设备总是在倾听他们的唤醒词。然而,一些销售这些产品的公司不清楚他们如何使用他们收集的信息。因此,人们担心物联网设备中的虚拟个人助理可能会无意中泄露公司机密和个人信息。当法院命令亚马逊Echo智能扬声器提供与2015年一起谋杀案有关的数据时,物联网设备的潜在企业安全风险再次成为人们关注的焦点。分析人士指出,在有关企业的民事案件中,该公司拥有的所有数据都可能成为法院希望看到的证据——包括智能扬声器等物联网设备中包含的任何信息。回到IAM问题,始终在线的IoT设备的工作方式意味着授权在工作中使用IoT设备的任何一方都应接受培训,以避免在房间内讨论敏感的公司信息。这是因为即使物联网设备被适当锁定,只有授权人员才能使用它,该设备仍然可以记录机密信息。迎接挑战一些公司已经认识到物联网设备带来的身份管理问题,并拥有解决这一安全漏洞的技术。其中之一是Aerohive,它有一款名为AerohiveA3的产品,能够识别公司网络上的所有物联网设备,并为这些设备分配适当的访问控制。Aerohive产品中有多种访问控制,公司可以调整这些访问控制以满足他们的需求。此外,该解决方案非常适合需要对物联网设备进行短期网络访问的用户。重新思考物联网时代的身份管理关于身份管理(IAM)的传统观点是,它是关于某些人是否可以访问特定资源的。这在今天仍然适用,特别是对于访问控制物联网设备的接口。公司可能不会向有可疑行为历史的人提供访问权限,相反,此人必须证明他们有资格获得更多访问权限,并且可以通过查看他们随着时间的推移的可靠性和可信度来做到这一点。同样,公司不应假设企业级物联网设备没有安全漏洞。在这种情况下,身份管理意味着在允许网络访问之前检查物联网设备是否存在问题。换句话说,公司将企业物联网设备视为未经证实的人。这样一来,物联网设备或使用它的人对公司构成危险的可能性就会降低,并且在使用过程中进行仔细的身份管理将有助于确保公司不会使访问控制无效。
