在管理“影子物聯(lián)網(wǎng)”的風(fēng)險(xiǎn)方面，企業(yè)、制造商和立法者需要發(fā)揮各自的作用。

研究表明，在今年秋季，可能只有三分之一的員工返回辦公室工作，而在可預(yù)見的未來，將有大量的員工繼續(xù)在家遠(yuǎn)程工作。這種變化要求企業(yè)引入大量新的政策和程序來適應(yīng)，尤其是在企業(yè)安全領(lǐng)域。

多年來，業(yè)內(nèi)人士預(yù)測(cè)物聯(lián)網(wǎng)設(shè)備的數(shù)量將會(huì)激增。軟銀集團(tuán)首席運(yùn)營官M(fèi)arcelo Claure在2018年表示，到2025年，地球上的每個(gè)人將平均擁有100臺(tái)物聯(lián)網(wǎng)設(shè)備。更重要的是，在未來三年內(nèi)，企業(yè)的物聯(lián)網(wǎng)支出將增加96%。

隨著發(fā)生的疫情促使在家遠(yuǎn)程工作的員工購買更多的辦公設(shè)備，對(duì)物聯(lián)網(wǎng)設(shè)備的需求也在加快。然而，從WiFi路由器、無線mesh網(wǎng)絡(luò)到智能音箱以及以健康為重點(diǎn)的可穿戴設(shè)備，這種新的物聯(lián)網(wǎng)購買浪潮可能會(huì)破壞業(yè)務(wù)的安全性，因?yàn)闃I(yè)務(wù)環(huán)境本身就是員工的家庭。

企業(yè)的物聯(lián)網(wǎng)設(shè)備的安全性如何？

員工在家工作而購買的大多數(shù)物聯(lián)網(wǎng)設(shè)備相對(duì)成本低廉，由于是面向普通消費(fèi)者，通常在硬件或軟件層面很少對(duì)其進(jìn)行安全保護(hù)。

此外，企業(yè)IT團(tuán)隊(duì)無法了解員工擁有的設(shè)備或他們已采?。ɑ蛭床扇。┑陌踩胧?。由于15%的物聯(lián)網(wǎng)設(shè)備所有者仍然使用默認(rèn)密碼，很多員工使用易受攻擊的設(shè)備。

而且，當(dāng)這些設(shè)備駐留在同一個(gè)網(wǎng)絡(luò)上，而其網(wǎng)絡(luò)正被企業(yè)員工用于電子郵件、文件共享和訪問受保護(hù)的數(shù)據(jù)時(shí)，出現(xiàn)的安全漏洞將成為威脅業(yè)務(wù)的一個(gè)主要問題。惡意攻擊者可以訪問更多與物聯(lián)網(wǎng)設(shè)備相關(guān)的攻擊面，包括硬件、網(wǎng)絡(luò)、API和接口。

由于在短期內(nèi)沒有跡象表明企業(yè)全面復(fù)工復(fù)產(chǎn)，政府、制造商、IT安全團(tuán)隊(duì)和員工都需要在減輕這些風(fēng)險(xiǎn)方面發(fā)揮作用。

企業(yè)IT的物聯(lián)網(wǎng)安全

好消息是，物聯(lián)網(wǎng)設(shè)備的安全原則與一般應(yīng)用于其他設(shè)備和數(shù)據(jù)的原則相似。

鑒于這些設(shè)備不在IT和運(yùn)營團(tuán)隊(duì)的管理范圍內(nèi)，因此它們必須安裝可以提供端點(diǎn)保護(hù)和監(jiān)視邊緣設(shè)備的安全工具，而盡早進(jìn)行入侵防御和檢測(cè)仍然是避免遭到破壞的優(yōu)秀方法。

加密和其他安全應(yīng)用程序應(yīng)該在企業(yè)IT設(shè)備上進(jìn)行評(píng)估，而其IT設(shè)備與消費(fèi)者物聯(lián)網(wǎng)設(shè)備將部署在同一網(wǎng)絡(luò)上。它們是第一道防線，需要提供安全的措施，如上所述，這些設(shè)備經(jīng)常不作為標(biāo)準(zhǔn)設(shè)備提供。

企業(yè)應(yīng)針對(duì)上述攻擊面評(píng)估其漏洞，并采取相應(yīng)的措施，例如對(duì)企業(yè)網(wǎng)絡(luò)上的設(shè)備實(shí)施更嚴(yán)格的實(shí)時(shí)身份驗(yàn)證過程。

員工教育和基本網(wǎng)絡(luò)安全培訓(xùn)和意識(shí)在降低風(fēng)險(xiǎn)方面也發(fā)揮著重要作用。例如，將物聯(lián)網(wǎng)設(shè)備連接到單獨(dú)的網(wǎng)絡(luò)會(huì)使網(wǎng)絡(luò)攻擊更加困難，因此要求員工在網(wǎng)絡(luò)級(jí)別將工作和消費(fèi)設(shè)備分開將會(huì)產(chǎn)生重大影響。

而提高加密意識(shí)也是另一個(gè)員工必須做到的事情，至少可以要求員工檢查并重置物聯(lián)網(wǎng)設(shè)備上的默認(rèn)密碼。

制造商必須采取措施保護(hù)設(shè)備

物聯(lián)網(wǎng)設(shè)備制造商本身也需要采取長期安全措施。即使其產(chǎn)品不受其所在市場(chǎng)中保護(hù)物聯(lián)網(wǎng)設(shè)備安全的法律要求也要如此。

即使違規(guī)行為是無意的，物聯(lián)網(wǎng)設(shè)備制造商也可能面臨巨大的聲譽(yù)損失、知識(shí)產(chǎn)權(quán)受損、消費(fèi)者信任喪失，以及設(shè)計(jì)不良的結(jié)果。

設(shè)備級(jí)身份管理是保證物聯(lián)網(wǎng)安全的關(guān)鍵。泄露密碼是獲得未經(jīng)授權(quán)訪問設(shè)備的最簡單和最常見的方式，這就是立法通常針對(duì)這一領(lǐng)域的原因。

良好的憑據(jù)管理看起來像是出廠時(shí)設(shè)置的唯一防篡改硬件標(biāo)識(shí)符，具有唯一的復(fù)雜密碼和安全的密碼重置過程。存儲(chǔ)的每個(gè)密碼還應(yīng)使用行業(yè)標(biāo)準(zhǔn)的哈希函數(shù)和唯一的Salt值。如果可能的話，還需要使用雙因素身份驗(yàn)證方法。

外部網(wǎng)絡(luò)連接的數(shù)量應(yīng)保持在設(shè)備運(yùn)行所需的最小數(shù)量，以便限制和控制接入點(diǎn)。這也適用于物理接入點(diǎn)，制造商用于測(cè)試或調(diào)試設(shè)備的所有接口和端口都應(yīng)移除。

許多物聯(lián)網(wǎng)設(shè)備制造商已經(jīng)開始認(rèn)真對(duì)待這一問題，但對(duì)于那些沒有認(rèn)真對(duì)待的制造商來說，這個(gè)問題最終會(huì)受到監(jiān)管機(jī)構(gòu)的處罰。

各國政府必須制定基本的物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)

員工分布在多個(gè)國家和地區(qū)的企業(yè)通常會(huì)面臨物聯(lián)網(wǎng)設(shè)備安全的零散和混亂的國際監(jiān)管框架的情況。

英國近年來在監(jiān)管方面加大了力度。兩年前，英國推出了消費(fèi)者物聯(lián)網(wǎng)安全的設(shè)計(jì)確保安全的實(shí)施規(guī)程。這個(gè)規(guī)程主要針對(duì)制造商，尋求建立常識(shí)性的安全標(biāo)準(zhǔn)，包括唯一的默認(rèn)設(shè)備密碼、安全更新的最短時(shí)間線，以及公開暴露漏洞的聯(lián)絡(luò)點(diǎn)。但是，法律上沒有要求制造商遵守這些準(zhǔn)則。

直到2020年1月，英國政府將這些準(zhǔn)則編纂為法律，將迫使在英國銷售物聯(lián)網(wǎng)設(shè)備的制造商遵循這些準(zhǔn)則。這是朝保護(hù)消費(fèi)者（進(jìn)而擴(kuò)展為企業(yè)）邁出的重要一步，它消除了保護(hù)設(shè)備安全的責(zé)任，并將其交還給制造商。

不幸的是，美國政府沒有這樣做。盡管美國聯(lián)邦調(diào)查局警告說，物聯(lián)網(wǎng)設(shè)備作為網(wǎng)關(guān)到同一網(wǎng)絡(luò)上的筆記本電腦等主要設(shè)備存在風(fēng)險(xiǎn)，但美國仍沒有制定相應(yīng)的法規(guī)。

2018年，加利福尼亞州成為美國第一個(gè)根據(jù)SB-327規(guī)范物聯(lián)網(wǎng)設(shè)備的州，要求采取與上述英國法律相同的許多措施。其法規(guī)于2020年1月生效。但是對(duì)于在美國大部分地區(qū)開展業(yè)務(wù)的企業(yè)而言，物聯(lián)網(wǎng)風(fēng)險(xiǎn)似乎是不可避免的。

物聯(lián)網(wǎng)安全是集體責(zé)任

由于生態(tài)系統(tǒng)仍處于初級(jí)階段，因此沒有一種靈丹妙藥來確保物聯(lián)網(wǎng)設(shè)備的安全。而制造商、立法者、企業(yè)和員工都有責(zé)任來管理和監(jiān)控物聯(lián)網(wǎng)的風(fēng)險(xiǎn)。

但是，通過采取其中一些措施，企業(yè)可以加強(qiáng)網(wǎng)絡(luò)安全性，并且不受消費(fèi)者物聯(lián)網(wǎng)的威脅。這樣他們就可以利用更多增加財(cái)富的機(jī)會(huì)。
責(zé)編AJX