物聯(lián)網(wǎng)時代已經(jīng)來臨,你的安全計劃部署到位了嗎?如果還沒有,現(xiàn)在是時候開始進行規(guī)劃了。
物聯(lián)網(wǎng)不僅僅是關(guān)于汽車、鐘表和咖啡機,而是全新前沿的聯(lián)網(wǎng)設(shè)備,這些設(shè)備直接和間接地影響著企業(yè)安全。最近企業(yè)的討論焦點一直圍繞在一般企業(yè)網(wǎng)絡(luò)是否能夠處理物聯(lián)網(wǎng)的帶寬要求,這是值得思考的問題,但相較而言,不可避免的安全問題似乎來得更為重要。
企業(yè)一直在艱難地保持其傳統(tǒng)網(wǎng)絡(luò)系統(tǒng)的安全性,很多人不知道其系統(tǒng)的位置,特別是敏感數(shù)據(jù)的位置。還有一些人則不清楚其當(dāng)前安全狀態(tài)或者在特定時間網(wǎng)絡(luò)在發(fā)生什么。毫無疑問,由IT和安全人員組成的最大群體難以讓管理層和普通用戶群保持安全性。對于保護物聯(lián)網(wǎng)安全,這些問題變得更具挑戰(zhàn)性,我預(yù)計我們將遇到前所未有的安全問題。
從我進入信息安全行業(yè)以來,我一直信奉這樣一個準(zhǔn)則,如果系統(tǒng)有IP地址或者URL,并且它以任何方式接觸業(yè)務(wù)網(wǎng)絡(luò)或處理敏感信息的話,那么它就可能成為攻擊目標(biāo)。而且它也應(yīng)該屬于現(xiàn)有安全管理計劃的范圍內(nèi)。移動設(shè)備、即時通訊、社交媒體等同樣是如此,我們無法阻止物聯(lián)網(wǎng)的發(fā)展,它應(yīng)該成為你的安全討論的前沿和中心。
遵守游戲規(guī)則
最小化信息風(fēng)險的核心原則之一是制定出一套規(guī)則,并遵守這些規(guī)則,即精心編寫的安全策略。如果沒有設(shè)置適當(dāng)?shù)钠谕担蜁芑靵y,就像我們在攜帶自己設(shè)備到工作場所(BYOD)趨勢中所看到的那樣。好消息是,保護物聯(lián)網(wǎng)安全或者保護你的企業(yè)免受它的影響,與保護網(wǎng)絡(luò)的任何其他方面沒有太大的不同。這是關(guān)于角度和重點的問題。對于企業(yè)中的物聯(lián)網(wǎng),下面是你必須考慮的以安全策略為中心的問題:
• 你現(xiàn)有的安全策略將發(fā)揮怎樣的作用?
你不必從頭開始。圍繞密碼、漏洞修復(fù)和系統(tǒng)監(jiān)控的現(xiàn)有政策可能就夠了。最重要的是確保物聯(lián)網(wǎng)在每個政策的范圍之內(nèi)。
• 是否需要新的安全策略?
你可能會發(fā)現(xiàn)你需要圍繞網(wǎng)絡(luò)分段和訪問控制的新的(或更新的)政策,以確保這些設(shè)備的安全性,類似于你處理無線接入點和訪客互聯(lián)網(wǎng)連接的方式。對此,一定要考慮物聯(lián)網(wǎng)對業(yè)務(wù)合作伙伴、供應(yīng)商和客戶的影響,畢竟他們都有著到你環(huán)境的網(wǎng)絡(luò)連接。另外,員工在家里的每個物聯(lián)網(wǎng)設(shè)備會通過VPN給企業(yè)網(wǎng)絡(luò)帶來什么額外的風(fēng)險呢?
• 誰來確保你的政策是可執(zhí)行的,并且實際得到執(zhí)行來最小化你的物聯(lián)網(wǎng)風(fēng)險呢?
管理層和用戶可能會對圍繞核心業(yè)務(wù)應(yīng)用的政策買賬,但他們?nèi)绾稳ダ斫鈱此茻o害且跟業(yè)務(wù)沒什么關(guān)聯(lián)的設(shè)備的保護呢?你需要能夠量化這種風(fēng)險,通過執(zhí)行風(fēng)險風(fēng)險分析和確定威脅利用物聯(lián)網(wǎng)漏洞的可能性,以及這些威脅帶來的潛在影響。良好的BYOD安全計劃不僅能夠表明即將來到的事物;它必須為你的物聯(lián)網(wǎng)政策執(zhí)行奠定基礎(chǔ)。
• 誰來監(jiān)控物聯(lián)網(wǎng)?
在不久的將來的某個時候,你可能會考慮增加網(wǎng)絡(luò)中主機的數(shù)量。你是否需要額外的人手來確保一切正常進行?你的托管安全服務(wù)提供商能否容納這些系統(tǒng)?
我通常不會相信與新興IT領(lǐng)域相關(guān)的營銷炒作,例如云計算和大數(shù)據(jù),但對于物聯(lián)網(wǎng)并不是這樣。該術(shù)語有些炒作成分,但其給企業(yè)帶來的影響是真的。據(jù)思科估計,到2020年物聯(lián)網(wǎng)將會增長到500億設(shè)備,這是相當(dāng)大的數(shù)據(jù),在某種程度上需要引起你的關(guān)注。這些設(shè)備可能會打開進入你網(wǎng)絡(luò)的后門,它們可能會推動惡意軟件的傳播,它們還可能存儲敏感商業(yè)信息,它們可能導(dǎo)致拒絕服務(wù)攻擊的情況。你的企業(yè)做好準(zhǔn)備了嗎?你是否能夠從你目前正在做的工作中調(diào)出時間來應(yīng)對這個正在入侵你網(wǎng)絡(luò)的新的趨勢?
復(fù)雜性是實現(xiàn)有效安全性的最大障礙之一,而物聯(lián)網(wǎng)安全問題無疑將成倍地加重這種復(fù)雜性,無論是在大型企業(yè)還是小型企業(yè)。你將需要比以往任何時候更好、更快和更便宜地實現(xiàn)安全性?,F(xiàn)在是時候思考如何應(yīng)對你網(wǎng)絡(luò)以及與你業(yè)務(wù)相關(guān)的其他網(wǎng)絡(luò)中的物聯(lián)網(wǎng)趨勢。部署合適的人員,至少應(yīng)該從政策更新開始,列出你正在對這些聯(lián)網(wǎng)設(shè)備做什么和沒有做什么,允許和不允許什么。政策并不是安全的靈丹妙藥。事實上,它們經(jīng)常會制造安全和“合規(guī)”方面的錯覺,導(dǎo)致弊大于利。但你應(yīng)該從政策開始,任何追求更好更安全的物聯(lián)網(wǎng)的積極行動都將在長期給企業(yè)帶來回報。