信息化觀察網(wǎng)

如今，物聯(lián)網(wǎng)設(shè)備正變得越來越多，Gartner 預(yù)測，到2020 年，物聯(lián)網(wǎng)設(shè)備數(shù)量將達到 204 億。隨著物聯(lián)網(wǎng)的快速發(fā)展，安全問題也隨之而來。在剛剛過去的2017年，爆發(fā)出不少全球性的信息安全危機，從WannaCry、Petya到BadRabbit，勒索病毒風(fēng)暴席卷全球企業(yè)端及消費者，黑客攻擊手法日益多樣化。

當(dāng)前，企業(yè)面臨的五大IT威脅包括了惡意軟件感染、安全漏洞、違規(guī)操作，以及針對郵箱帳戶的網(wǎng)絡(luò)釣魚。而物聯(lián)網(wǎng)技術(shù)的普及也會破壞現(xiàn)有的IT風(fēng)險管理機制。

在技術(shù)公司MetricStream對20個行業(yè)的120多家企業(yè)展開的全球調(diào)查中發(fā)現(xiàn)，近一半（44%）的大型企業(yè)認為未來三年物聯(lián)網(wǎng)（IoT）技術(shù)在干擾IT風(fēng)險管理項目方面具有相當(dāng)大的隱患。

由于可連網(wǎng)設(shè)備大量普及，各個網(wǎng)絡(luò)連接設(shè)備的管理程序并不統(tǒng)一，許多管理員在做物聯(lián)網(wǎng)設(shè)備的管理架構(gòu)時很容易忽視物聯(lián)網(wǎng)的互通、完整以及安全協(xié)作層面的考量。

此外，除了簡單的可見性之外，連接設(shè)備的軟件開發(fā)混亂狀態(tài)可能是最大的具體安全問題，不僅一些設(shè)備開始不安全，即使制造商發(fā)布補丁的缺陷，也可能難以分發(fā)和應(yīng)用于有組織的方式 許多人根本不修補，因為正在進行的軟件開發(fā)根本不在特定類型的設(shè)備的預(yù)算中。

雖然一般來說，IT GRC訪問控制解決方案可以通過自動化工作流程，及時提供風(fēng)險情報來指導(dǎo)決策，來增加網(wǎng)絡(luò)防護能力。但政策、培訓(xùn)計劃和信息治理框架都同樣重要。

因此，要防范此前美國信用評級機構(gòu)Equifax遭受到的網(wǎng)絡(luò)攻擊，顯然要企業(yè)擁有全面、靈活的IT風(fēng)險管理策略才能應(yīng)對。具體可以展開以下策略：

1、對于這些新興的聯(lián)網(wǎng)設(shè)備，哪些位置需要安全控制，以及如何部署有效地控制。鑒于這些設(shè)備的多樣性，企業(yè)將需要進行自定義風(fēng)險評估，以發(fā)現(xiàn)有哪些風(fēng)險以及如何控制這些風(fēng)險。

2、企業(yè)必須能夠識別IoT設(shè)備上的合法和惡意流量模式，并快速了解如何快速修復(fù)IoT設(shè)備漏洞以及如何優(yōu)先排序漏洞修復(fù)工作。

3、企業(yè)還應(yīng)該隔離IoT設(shè)備到vLAN或獨立的網(wǎng)段進行有效監(jiān)管。

（原標題：如何應(yīng)對物聯(lián)網(wǎng)會破壞IT風(fēng)險管理？）