企业在其业务中越来越多地使用物联网设备并不是一件坏事。它们有助于提高员工的工作效率,优化有限的资源,甚至自动化完成一些繁琐而平凡的任务。但其带来的好处仍然不能消除物联网设备对企业带来的风险。
物联网安全的误区
随着企业在其业务各个方面加强安全性,人员仍然是最薄弱的环节,并且他们很容易对物联网网络的安全性视而不见,因为它们是基于技术的。但是,使用可以更好地执行任务的远程工具和设备代替物理任务并不总是完美的解决方案。
企业通常采用了一些物联网设备,例如为办公室部署更多物联网设施,而需要检查的锁、钥匙和安全摄像头就越多。尽管这些设备设计支持网络安全,例如笔记本电脑、平板电脑和桌面设备,但物联网设备并不安全,企业不能依靠物联网制造商提供的安全功能来保护,这需要进行更多的改变。
在过去几年中,全球70%的组织和机构遭受了基于物联网的网络攻击,其中典型的一个安全事件是一家赌场的数据库被黑客从其鱼缸温度计入侵。这不是使用复杂的技术秘密访问网络的情况。这种方法相对简单,因为温度计是一种连接到互联网和赌场内部网络的物联网设备。
除了经常使物联网设备容易受到网络攻击的疏忽之外,它们在生产时通常是致力于提高生产力和便利性,并没有首先考虑安全性。
(1)有限的计算能力
大多数物联网设备最多只能完成一些任务。由于任务通常非常简单且不需要大量计算能力,因此制造商不会特意加强其设备的容量以保持合理的价格。然而,适当的安全措施通常需要足够的计算能力才能发挥作用。
(2)操作系统老旧和缺乏更新
由于物联网设备所需的功能不会随时间变化,因此大多数物联网设备制造商不会持续向设备发送操作系统更新。这使他们容易受到各种网络攻击。
(3)物理安全性差
如果网络攻击者可以访问物联网设备,他们可以直接访问其所在的网络。与携带敏感文件和数据的员工笔记本电脑和平板电脑不同,物联网设备通常并没有受到严密的保护,并且安装在偏远地区且长时间无人监管。缺乏物理安全措施使设备面临被篡改的高风险,并通过破坏设备或直接通过其端口安装恶意软件或间谍软件。
(4)不安全的通信协议
大多数物联网设备在设备本身、云计算服务和企业的主要网络之间传输数据时不使用安全通信协议。例如,一些中间人(MITM)攻击利用不安全的密钥交换实践来截获和访问传输期间的数据。
如何保护物联网设备
尽管使用的物联网设备有很多缺点,但并不一定意味着不能解决和克服。企业可以采用多种方法来保护物联网设备,并最大程度地降低风险,其复杂性和重要性各不相同。
(1)更改密码
密码登录与多重身份验证似乎是显而易见的第一步,但47%的IT人员在将物联网设备连接到其内部网络时不会更改它们的默认密码和设置。应该在物联网设备上使用适用于帐户和设备密码的相同规则:
- 每30到90天更改一次密码。
- 在不同情况下在密码中使用随机字母、数字和符号的复杂组合。
- 使用双因素或多因素身份验证。
- 使用密码管理器——或完全放弃书面密码以进行无密码登录。
- 避免通过不安全的通信渠道在员工之间共享密码。
(2)远离开放的互联网
物联网设备只有在连接到更大的网络或设备或云平台时才能正常工作。但是,最好将物联网设备严格连接到企业的内部网络,而不是开放的互联网。这是因为,根据NETSCOUT发布的威胁情报调查报告,物联网设备在连接到互联网后大约五分钟就会受到网络攻击。
(3)对自动连接选项小心谨慎
在默认情况下,大多数物联网和智能设备都有自动连接网络的选项。这本身对普通人来说是一种安全风险,同时它可能会增加企业遭受物联网网络攻击的风险。
大约三分之二的全球性公司发现1000多个公司或个人的物联网设备连接到其内部网络。与企业发布的物联网服务不同,无法确保所有这些服务都对其安全性进行了必要的改进。
除了设置阻止未经授权的物联网设备连接到网络的障碍之外,还应考虑实施监控系统。企业可以使用它密切关注设备的所有健康状况,并在出现异常情况(例如异常数据流)时提醒。
(4)禁用所有不必要的功能
大多数物联网设备都启用了许多默认设置,以提高便利性和生产力而不是安全性。将新的物联网设备添加到网络之后,需要检查其设置和附加功能,并禁用任何不使用的功能。物联网设备提供的任何类型的数据或附加服务都可能是潜在的安全漏洞。
(5)与以安全为导向的物联网制造商合作
对于物联网设备来说,软件更新并不那么频繁。当进行更新时,企业通常会专注于改进用户界面或实现一两个新功能。通过只从面向安全的制造商采购物联网设备,还可以确保定期更新,其中包括安全更新以及已修复错误和漏洞的报告。