物聯(lián)網(wǎng)的快速發(fā)展為企業(yè)和消費(fèi)者帶來(lái)了前所未有的好處。但是,隨著新功能通過(guò)這種互聯(lián)技術(shù)成為可能,新的問題也隨之而來(lái)。
自物聯(lián)網(wǎng)誕生以來(lái),網(wǎng)絡(luò)安全就一直困擾著它。由于許多物聯(lián)網(wǎng)開發(fā)人員將創(chuàng)新放在首位,因此這一關(guān)鍵因素(網(wǎng)絡(luò)安全)已經(jīng)退居次要地位,并遠(yuǎn)遠(yuǎn)落后于該領(lǐng)域的發(fā)展速度。結(jié)果,這為潛在的惡意設(shè)備提供了機(jī)會(huì),使其可以在沒有被IT和安全部門識(shí)別的情況下潛入企業(yè)網(wǎng)絡(luò)。
這些設(shè)備構(gòu)成了所謂的影子物聯(lián)網(wǎng)。讓我們來(lái)看看這些設(shè)備給組織帶來(lái)的風(fēng)險(xiǎn),以及如何降低這些風(fēng)險(xiǎn)。
快速物聯(lián)網(wǎng)創(chuàng)新的代價(jià)
在物聯(lián)網(wǎng)出現(xiàn)之前,互聯(lián)網(wǎng)就為建立更加互聯(lián)的世界奠定了基礎(chǔ)。這簡(jiǎn)直是一個(gè)技術(shù)奇跡。想想看:在幾十年的時(shí)間里,人類成功地將全球的每個(gè)角落都連接到一個(gè)信息傳輸系統(tǒng)上。
今天,互聯(lián)網(wǎng)已經(jīng)進(jìn)化并擴(kuò)展到其數(shù)字起源之外,包括我們周圍的物理世界。每天都有大量設(shè)備連接到萬(wàn)維網(wǎng)。這種現(xiàn)象被稱為物聯(lián)網(wǎng)(IOT),而且也沒有減緩的跡象。
2017年,連接了超過(guò)84億臺(tái)物聯(lián)網(wǎng)設(shè)備。到2020年,這一數(shù)字將達(dá)到驚人的300億,并且物聯(lián)網(wǎng)市場(chǎng)的價(jià)值有望在同一年達(dá)到7.1萬(wàn)億美元!此時(shí),您可能想知道到底是什么導(dǎo)致了物聯(lián)網(wǎng)設(shè)備數(shù)量的急劇增加?物聯(lián)網(wǎng)的多功能性是無(wú)限的,事實(shí)上,這項(xiàng)技術(shù)有潛力改變農(nóng)業(yè)、醫(yī)藥、運(yùn)輸和制造業(yè)等眾多行業(yè)。
因此,世界各地組織爭(zhēng)相將物聯(lián)網(wǎng)功能集成到其運(yùn)營(yíng)中也就不足為奇了。但是,這種快速整合也有缺陷。其中最主要的是影子物聯(lián)網(wǎng),即在沒有得到IT部門支持的情況下,在公司內(nèi)部使用物聯(lián)網(wǎng)設(shè)備。
以下是影子物聯(lián)網(wǎng)的最大風(fēng)險(xiǎn)。
缺乏風(fēng)險(xiǎn)意識(shí)
缺乏意識(shí)是影子物聯(lián)網(wǎng)的最大風(fēng)險(xiǎn)。對(duì)于大多數(shù)人來(lái)說(shuō)物聯(lián)網(wǎng)還是一個(gè)相當(dāng)較新的概念,再加上大多數(shù)組織還沒有經(jīng)歷過(guò)影子物聯(lián)網(wǎng)安全攻擊的這一事實(shí),因此很多人認(rèn)為這并不是什么問題。
但正是這種意識(shí)缺乏往往導(dǎo)致組織容易受到影子物聯(lián)網(wǎng)的影響。那么,可以采取哪些措施來(lái)解決此類問題并保護(hù)自己呢?
顯然,提高對(duì)影子物聯(lián)網(wǎng)風(fēng)險(xiǎn)的認(rèn)識(shí)是緩解這一問題的直接方法。但實(shí)際上,說(shuō)起來(lái)容易做起來(lái)難。因?yàn)橛白游锫?lián)網(wǎng)還相對(duì)較新,它周圍還有很多未知因素,包括惡意黑客可以采用的攻擊方法和途徑。(來(lái)源物聯(lián)之家網(wǎng))但是,諸如Mirai 僵尸網(wǎng)絡(luò)攻擊之類的臭名昭著的事件嚴(yán)重提醒了我們可能發(fā)生的事情,該事件在美國(guó)東海岸城市(如波士頓和紐約)造成了嚴(yán)重的電力中斷。
為了避免這些問題,請(qǐng)考慮舉辦一些安全培訓(xùn),讓您的員工了解最新的物聯(lián)網(wǎng)安全協(xié)議。
供應(yīng)商設(shè)備和服務(wù)
當(dāng)企業(yè)開始實(shí)施物聯(lián)網(wǎng)時(shí),通常會(huì)求助于供應(yīng)商的設(shè)備和服務(wù)。但這些資產(chǎn)通常像您自己一樣容易受到影子物聯(lián)網(wǎng)的攻擊。
這是不幸的,因?yàn)榻M織通常只與他們信任的供應(yīng)商合作。當(dāng)您考慮到大多數(shù)公司可能需要多個(gè)供應(yīng)商來(lái)啟動(dòng)其物聯(lián)網(wǎng)項(xiàng)目時(shí)(從而大幅增加攻擊媒介的數(shù)量),問題只會(huì)變得更加嚴(yán)重。
為了解決這個(gè)問題,請(qǐng)務(wù)必在選擇和購(gòu)買過(guò)程中評(píng)估物聯(lián)網(wǎng)設(shè)備的安全性。如果您想更進(jìn)一步,請(qǐng)考慮對(duì)主要的物聯(lián)網(wǎng)設(shè)備供應(yīng)商進(jìn)行安全審核。這對(duì)于確保他們遵守適當(dāng)?shù)陌踩珔f(xié)議大有幫助。
個(gè)人物聯(lián)網(wǎng)設(shè)備
通常,個(gè)人物聯(lián)網(wǎng)設(shè)備是造成影子物聯(lián)網(wǎng)問題的主要原因。這是有道理的——不僅很難跟蹤每個(gè)團(tuán)隊(duì)成員帶到辦公室的個(gè)人設(shè)備,而且每個(gè)人平均隨身攜帶的物聯(lián)網(wǎng)設(shè)備的數(shù)量每年都在增加。
智能手機(jī)、健身可穿戴設(shè)備、智能手表和醫(yī)療設(shè)備通常是個(gè)人設(shè)備引起影子物聯(lián)網(wǎng)攻擊的主要元兇。黑客攻擊多個(gè)公司資產(chǎn)時(shí),只需要攻破這些設(shè)備中的任何一個(gè)即可。
為了降低個(gè)人設(shè)備的風(fēng)險(xiǎn),請(qǐng)引入安全策略來(lái)管理員工在工作場(chǎng)所如何使用它們。您的策略應(yīng)該符合現(xiàn)代信息安全標(biāo)準(zhǔn),如ISO 27001。同樣,引入BYOD政策有助于培養(yǎng)強(qiáng)大的公司信息安全文化。
做好準(zhǔn)備并了解物聯(lián)網(wǎng)最新發(fā)展
完全保護(hù)自己不受影子物聯(lián)網(wǎng)的影響是不可能的。因此,請(qǐng)做好充分準(zhǔn)備:制定策略和計(jì)劃。定期更新它們并模擬攻擊情況,以便您的員工在事件真正發(fā)生時(shí)知道該怎么做。
物聯(lián)網(wǎng)是未來(lái)技術(shù)不可或缺的一部分。通過(guò)采取適當(dāng)?shù)拇胧缣岣哒J(rèn)識(shí)和制定策略,可確保您的公司為即將發(fā)生的一切做好準(zhǔn)備。(編譯iothome)