許多物聯(lián)網(wǎng)設(shè)備缺少安全性,具有容易“猜中”的默認密碼,并且在將其插入網(wǎng)絡之前需要一定程度的技術(shù)專業(yè)知識。公司如何確保這一點得到了解決,尤其是當許多物聯(lián)網(wǎng)設(shè)備由第三方(如承包商)安裝時?
自帶物聯(lián)網(wǎng)設(shè)備
正如“自帶設(shè)備”給IT部門帶來挑戰(zhàn)一樣,物聯(lián)網(wǎng)也是如此。走進幾乎任何一間辦公室,你都會看到很多物聯(lián)網(wǎng)設(shè)備,這些設(shè)備可能不受IT部門的管理,如無線音樂揚聲器、智能助理和支持iPad的咖啡機。因此,應將這些設(shè)備與筆記本電腦和移動設(shè)備歸為同一個高風險類別。
物聯(lián)網(wǎng)安全爭論現(xiàn)在愈演愈烈
5G的推出加劇了這場辯論,5G被視為下一代物聯(lián)網(wǎng)設(shè)備的關(guān)鍵推動力。制造商華為已經(jīng)被美國和澳大利亞等某些別有用心國家的運營商網(wǎng)絡“禁止”進入,原因是擔心國家介入,以及一些人擔心可能導致數(shù)據(jù)最終落入外國勢力手中(無稽之談)。不過,考慮到微軟最近聲稱觀察到一個被稱為“Fancy Bear”的某國資助的黑客組織正在通過網(wǎng)絡電話、辦公室打印機和視頻解碼器等設(shè)備積極攻擊公司,因此對政府參與物聯(lián)網(wǎng)的擔憂并非沒有根據(jù)。
因此,無論是在設(shè)備還是網(wǎng)絡層面,安全問題都至關(guān)重要。我們?nèi)绾谓鉀Q這個問題?
在網(wǎng)絡級別管理物聯(lián)網(wǎng)設(shè)備
保護物聯(lián)網(wǎng)設(shè)備只能在網(wǎng)絡級別上進行。雖然配置每個端點使其盡可能安全是必要的,但是假設(shè)這是可行的或者鏈中沒有不能被利用的薄弱環(huán)節(jié)是不現(xiàn)實的。相反,重點應該放在監(jiān)控網(wǎng)絡流量上,以確保流量到達預期目的地,以便能夠快速檢測到入侵。(來源物聯(lián)之家網(wǎng))大多數(shù)物聯(lián)網(wǎng)設(shè)備在日常功能和行為上都具有可預測性,以Echo設(shè)備為例,它通常只與amazon服務器交換數(shù)據(jù)。這種一致性使我們更容易發(fā)現(xiàn)行為上的變化,這種變化可以被標記為潛在的問題。
公司應該將所有物聯(lián)網(wǎng)設(shè)備的數(shù)據(jù)都顯示在一個地方(管理控制臺)。在網(wǎng)絡層,這意味著通過安全的“通道”將所有物聯(lián)網(wǎng)流量定向到云,這些“通道”完全獨立于承載它們的網(wǎng)絡。不管是5G、4G還是固定寬帶,流量都安全地路由到云安全網(wǎng)關(guān),以便可以將目的地視為安全,可以檢查內(nèi)容是否包含惡意數(shù)據(jù),并可以對行為和異常水平進行監(jiān)控。
通過這種方式管理流量,可以將物聯(lián)網(wǎng)流量僅限于授權(quán)的目的地,并安全地降低這些目的地受到安全威脅的風險。大多數(shù)攻擊者都會試圖將網(wǎng)絡流量重定向到網(wǎng)絡釣魚網(wǎng)址,但可以強制實施將網(wǎng)絡流量限制在可信網(wǎng)站或IP地址的策略,從而為打擊網(wǎng)絡罪犯和國家行為者提供必要的安全層。
公司可以采用的另一種方法是,通過安全行業(yè)專業(yè)人士和供應商整理的“列表”系統(tǒng)(包括折衷指標IOC),來檢查設(shè)備是否將流量發(fā)送到已知的不良目的地。這些方法可以通過使用人工智能來進一步補充,并且隨著時間推移,人工智能可以對物聯(lián)網(wǎng)設(shè)備的“行為”進行更深入的分析,以便能夠快速識別和修復異常。這種方法幾乎意味著,無論下一代物聯(lián)網(wǎng)將帶來什么,組織都可以根據(jù)需要安全地擴展。
京公網(wǎng)安備 11010502049343號