在没有IT部门支持的情况下,在公司内部使用物联网设备可能会引来黑客攻击。因此,组织应该通过实施严格的策略来抵御影子物联网的威胁。
我们生活在数字时代。借助数字技术,组织已经见证了工作流程的优化、效率和准确性。物联网是一项如此令人难以置信的技术,它为商业机会打开了新的大门,使公司缩短了产品上市时间并提高了盈利能力。物联网已经帮助公司满足消费者的期望,从而提高了客户满意度。组织还在其工作场所利用物联网设备来实现卓越的性能、资产利用率和成本节约。这也包括BYOD(自带设备)。BYOD在相当长一段时间以来一直是工作场所的趋势,员工可以自由地将个人设备带到办公室。企业数据位于云中,这使得员工在需要时很容易访问业务信息。随着BYOD政策和基于云的移动应用程序的出现,员工可以获得远程工作的机会。通过制定BYOD政策,员工的生产力和工作效率水平得到了大幅提高,使企业能够实现其业务目标。虽然好处很多,但组织也应该注意其风险。BYOD实际上可以为黑客提供一个很好的机会,让他们很容易进入中央控制系统并窃取数字资产。
的确,组织可以跟踪此类设备,执行安全措施,并加固安全墙。但是如果员工在公司不知情的情况下携带和使用他们的设备呢?而这就是影子物联网。如果这种情况发生,组织无疑会看到可怕的后果。因此,组织应该通过执行必要的安全措施来防御影子物联网的威胁。
影子物联网的普遍性
市场上已经有无数支持物联网的设备。总部位于伦敦的全球信息提供商IHS Markit的一份报告指出,到2030年,连网设备的数量将达到1250亿台。这一事实表明了当今物联网设备的普及程度。随着使用量的增加,影子物联网的威胁也在增加。无线网络安全解决方案和服务公司802 Secure的另一份报告展示了这一问题的普遍性。802 Secure的首席安全和威胁研究官Mike Raggo说:“虽然大多数组织都在为物联网启用做准备,但我们的威胁情报显示,大多数公司仍然容易受到10年前的网络漏洞的攻击。”报告强调:
- 90%的组织拥有影子物联网/工业物联网无线网络。
- 新的无线U盘和间谍摄像头正在使影子威胁增加。
- 公司每周至少见证一次网络攻击。
影子物联网的威胁
还记得2012年的网络攻击吗?在那次攻击中,犯罪分子侵入新泽西州一个州政府设施和一家制造厂的恒温器。此外,2016年使用物联网僵尸网络对服务提供商DYN发起的最大规模的DDOS攻击?这就是黑客们设法侵入物联网设备的方式。由于物联网设备最容易受到网络攻击,因此组织需要实施强有力的安全控制,以增强保护。但是,尽管物联网设备受到严格保护,但犯罪分子还是找到了一个进入网络的创新方式。现在,想象一下,一个没有企业级安全功能的物联网设备所面临的威胁。
借助移动管理应用程序,公司可以跟踪他们使用的所有物联网设备。但遗憾的是,有许多系统没有足够的安全控制。密歇根大学和巴西伯南布哥联邦大学的研究人员表示,智能设备通过其应用程序构成了可怕的威胁。黑客可以很容易地发现并潜入一个薄弱、不严密的地方。一旦他们进入网络,他们就更容易进行犯罪活动。然后他们可以向网络注入恶意代码,进行网络钓鱼,甚至尝试不同的自动网络攻击。此外,犯罪分子可以轻松访问员工、企业以及客户的重要信息。影子物联网的威胁可能是毁灭性的,这会降低公司的声誉,从而使公司付出沉重的代价。因此,组织应采取适当措施,通过确保所有设备安全运行而不影响安全性来解决影子物联网的问题。
- 减轻影子物联网威胁的步骤
随着物联网设备越来越多地被黑客用作入侵和攻击大型网络系统的切入点,安全已成为企业的一个重要考虑因素。毫无疑问,网络安全专家正夜以继日地消除黑客威胁,但是,除了安全措施之外,公司还应确保考虑以下步骤:
- 让员工了解影子物联网的威胁
并非您组织中的每位员工都是IT专家,并非每个人都会意识到黑客攻击的后果,尤其是非技术团队。在非IT部门工作的员工可能会不知不觉地使用他们的个人设备,而没有通知网络安全团队,这可能会导致负面后果。因此,各组织应该毫无疑问地考虑到这一点。应该向每个员工讲述恶意行为者、及其意图、行为和危害等。应该把影子物联网的概念解释清楚。
- 让员工将他们的设备正式添加到公司系统
为什么员工在IT部门不知情的情况下使用他们的设备?可能有两个原因。首先,他们只是不想经历添加和保护设备的漫长过程,其次,IT团队拒绝了他们使用设备的请求。组织可以很容易地处理这个问题。应授予员工访问权限,并将其设备添加到授权系统中的清单中。此外,IT团队应该注意所添加系统的安全性。遵循此程序将有助于公司大幅降低影子物联网的威胁。
- 定期监控设备的安全性
组织应该密切关注现有和新增加的设备。他们应该监控他们的网络,以确保所有系统都有严格的安全控制,并且没有被篡改。准确地说,员工是任何组织防御中最薄弱的一环,他们的疏忽或对网络安全风险知之甚少会有助于网络攻击。因此,各组织应该及时向其工作人员提出警告。除了现有的网络安全措施和上述措施之外,公司还应执行严格的法规,以确保在工作中正式和合法地使用物联网设备。如果员工不遵守规定,应采取严格的措施。这样,组织就可以执行良好的安全控制,从而使罪犯分子的工作变得困难。