物联网(IOT)包括越来越多的连网设备,从安全摄像头到智能恒温器。许多企业使用企业级物联网设备来帮助员工更高效地完成工作,或帮助满足设施管理需求。但是,企业物联网还有一个不足之处——身份管理。
身份管理也称为身份和访问管理(IAM),它确保正确的人能够访问完成工作所需的系统和信息。但是,物联网的一个普遍问题是,许多相关技术的构建都没有考虑到身份管理。
凭证滥用已成问题
当人们试图通过绕过现有访问控制系统来访问或成功访问系统时,就会发生凭据滥用。有时候,当人们无意中做了一些事情来帮助同事时,就会发生这种情况,比如与同事共享密码以避免在等待IT部门给他们密码时出现工作延误。
但是,在其他情况下,恶意意图是驱动因素,人们利用身份管理的不足来获取不应该拥有的访问权限。最近发布的BeyondTrust全球调查发现,64%的受访者认为,由于员工滥用访问权限,他们有过直接或间接的违规行为。
然后,为了将此讨论带到物联网,我们必须认识到许多物联网设备并不具备企业级所需的强大密码管理。据ABI Research公司的一份报告显示,到2022年,与身份管理相关的物联网设备收入可能达到215亿美元。
某些物联网设备具有默认密码
身份管理和物联网设备的一个已知问题是,其中一些设备带有默认密码,用户应该更改这些密码,但他们从来不会更改。Positive Technologies的调查结果显示,大约15%的设备密码从未更改过默认值。
此外,当人们使用惯用的用户名/密码组合时,也会出现问题。更具体地说,Positive Technologies的研究表明,使用五个受欢迎的这种组合可以访问十分之一的设备。
值得肯定的是,使用默认密码将很快成为过去。加州立法者通过了一项法律,该法律将于2020年1月1日生效,要求所有连网设备在加州销售或生产时必须带有唯一的密码。
这是朝着正确方向迈出的一步,特别是考虑到大多数公司可能不会仅为加州创建一些设备。但是,如果企业中的每个人都知道设备的专有密码并使用它,那么身份管理仍然不起作用。可能有些人不应该访问物联网设备,但是通过知道密码并使用它,他们就拥有了不必要的特权。
私人虚拟助理总是在监听
与物联网设备和IAM相关的另一个问题是,大多数带有个人助理组件的物联网设备总是在监听它们的唤醒词。然而,一些销售这些产品的公司并不清楚他们如何使用收集到的信息。因此,人们有理由担心物联网设备中的虚拟个人助理可能会无意中泄露公司和个人机密信息。
当法院要求Amazon Echo智能扬声器为2015年谋杀案提供数据时,物联网设备的潜在企业安全风险再次成为人们关注的焦点。分析人士指出,在有关企业的民事案件中,企业拥有的所有数据都可能成为法庭要求查看的证据——包括智能扬声器等物联网设备包含的任何信息。
因此,再回到IAM的问题上,始终在线的物联网设备的工作方式意味着,任何被授权在工作中使用物联网设备的各方都应该接受培训,以避免在任何安装有物联网设备的房间里讨论敏感的公司信息。这是因为即使物联网设备被适当锁定,只有授权的人才能使用,但该设备仍然可以记录机密信息。
迎接挑战
一些公司已经认识到物联网设备所带来的身份管理问题,并且拥有解决这一安全漏洞的技术。其中之一是Aerohive,它有一款产品叫做Aerohive A3,该产品具有识别公司网络中所有物联网设备并为这些设备分配适当访问控制的功能。
Aerohive产品中有多种访问控制,公司可以通过调整来满足需求。此外,解决方案非常适合需要对物联网设备进行短期网络访问的用户。
重新思考物联网时代的身份管理
身份管理(IAM)的传统观点是,它与某些人是否可以访问特定资源有关。这一点现在仍然适用,特别是对控制物联网设备的接口的访问。
一家公司可能不会给一个有过可疑行为的人提供访问权限,相反,这个人必须证明自己有资格获得更多访问权限,并且可以通过长期观察他们的可靠性和可信度来做到这一点。
同样,公司不应该假设企业级物联网设备没有安全漏洞。在这种情况下,身份管理意味着在允许网络访问之前审查物联网设备是否存在问题。换句话说,公司将企业物联网设备视为未经证实的人。
这样,物联网设备或使用它的人对公司构成危险的可能性就会降低,并且在使用过程中注意身份管理将有助于确保公司不会使访问控制失效。