为什么在网络上看到物联网设备如此困难?
物联网技术在帮助企业提高利润方面发挥着重要作用,从智能库存跟踪器到先进的数据挖掘和流程跟踪,以及提高生产力,使工人能够快速完成大规模任务。这些好处以及更多的东西正推动企业疯狂抢购物联网设备,目的是在未来物联网技术变得更昂贵之前,现在就购买这项技术。然而,许多企业忘记了物联网设备的重要性通常不安全.事实上,它们的设计是为了保持廉价和轻便,这使得它们一旦连接到网络就很难管理。物联网设备造成可见性挑战的原因有几个,其中一些可以通过参考下面提到的技巧来解决,而另一些必须解决等待监管执行(这在2018年似乎很有可能)。
避免库存监督
很难看到物联网设备的一个主要且更明显的原因是,许多物联网设备没有在it库存记录或目录中注册。医院员工每天都要检查每个房间,以确保每个设备都被确认,这为人为错误创造了很大的空间。即使是IT专业人士也可能忘记在联网设备清单中添加物联网设备,比如智能咖啡机或暖通空调系统,因为许多技术似乎“不够重要”,无法追踪。这种级别的物联网监管很可能会让组织在底线上付出代价——可能会抵消上面提到的底线收益——因为他们将这些不受监控的设备开放给不正当的访问。更重要的是,物联网设备通常通过简单的操作系统和默认用户名或密码(其中一些可以在网上找到)来保护,这为未经授权的访问、数据泄露或恶意设备活动创造了充足的机会。如果你仔细想想,这些“僵尸”物联网设备就像你无法关闭的终结者。
这些和更多的风险可以通过维护一个现行及详细存货所有网络连接的设备(甚至是那些没有连接,但存在于办公室或工厂的设备)。在移动设备管理或网络接入控制技术的帮助下,一旦设备连接,库存可以自动更新,并按月或双月手动验证。了解物联网设备库存不应该是一年一度的事情;你对网络上(或网络附近)的设备了解得越多,你的公司就能更好地有效应对物联网安全漏洞,这是最近越来越常见的事件。
要了解你自己,首先要了解你的手段
从技术上讲,物联网设备已经存在了几十年(因为实际上,这个术语指的是任何可以连接到互联网的设备),但在实践中,对当今企业最有价值的物联网设备仍然是个谜。经验丰富的IT专业人员将精通当今市场上可用的物联网技术,并可能承担建议公司应该采用的设备的任务,但即使是他们也知道,每个设备都有自己的挑战。
大多数物联网设备以其低CPU、小内存和独特的操作系统(这通常需要从头开始研究)而闻名。许多物联网设备受到来自工厂的用户名和密码的“保护”,这些用户名和密码很少被更改。此外,这些设备是为了连接无线网络而设计的,如果不连接,大多数设备将无法正常工作。这些挑战使发现和管理设备成为一个重大挑战,特别是如果它们没有被计入IT库存的一部分。为了跟踪他们在网络上的存在,IT团队需要专门的可见性工具,其价格要高于采用物联网设备本身的相对较低成本。因此,许多物联网设备可以自由支配网络,不能在常规端点或漏洞扫描中看到。
你可能在想这个挑战的答案取决于设备制造商.的确,这种想法是正确的,但由于对物联网安全缺乏监管,制造商现在才开始意识到缺乏安全是实施的障碍。因此,it专业人员自己开始发现和管理设备,目标是建立一个正常行为的基线,以帮助他们识别迫在眉睫的威胁。这可以通过网络可见性工具实现,该工具可以洞察设备,它连接到哪个端口或网络区域,以及它可以访问哪些数据。此外,安全管理员应该设置网络策略,控制物联网设备的访问,特别是对网络中的数据敏感区域。最后,确保你了解设备和制造商的所有信息。尽管许多物联网设备无法打补丁,但一些制造商现在发布了应该尽可能安装的固件更新。这些更新有助于防止黑客获得访问权限——这可以相对容易地实现,一旦访问凭证被发现通过网站,如Shodan网络和其他人。
当有疑问时,将其分割开来
在网络上很难看到物联网设备的另一个原因是,它们被分组到网络上所有其他连接设备中,比如BYOD、移动设备、笔记本电脑、个人电脑、打印机等等。事实上,由于它们无处不在的用途——无论是厨房用具、连接的安全摄像头或加热/冷却系统——它们甚至可能不会被“分组”或指定特定的组/角色策略,从而让它们自由地在网络中漫游。没有一个用户或一组用户被分配来管理设备(数据收集可能是自动化的),所以确保设备的安全状态和授权访问区域的责任是悬而未决的。其结果是:物联网设备成为自由的代理人,很容易成为黑客和其他恶意行为者的支持者。最近出现的大量分布式拒绝服务僵尸网络攻击就是黑客如何操纵脆弱的物联网安全政策来获取企业数据,甚至完全关闭业务的最好例子攻击达因).
当涉及物联网时,出于安全考虑,结合各种力量,最好的解决方案是分段。细分过程首先要对设备进行彻底的清点:哪些物联网设备在使用,哪些员工在使用,用途是什么。还要评估它们的连接性:它们是否连接到VLAN或LAN网络?他们是否需要访问更多的互联网连接来执行他们的功能?这些设备如何传输数据(以何种形式)?要回答这些问题,就必须了解设备在使用中的重要性及其功能。一旦所有的鸭子都排成一条线,就更容易开始分段.
细分的建议不是将所有连接的设备归类在一起,而是指定特定类别,如基础设施设备、数据收集设备、组织设备,甚至可能是可穿戴设备。通过了解每个设备的独特功能,可以更容易地创建一个网络安全策略,以满足它们的目的和最大限度地发挥它们的效果。另一个想法是让有技术头脑的员工定期监控他们工作的某个物联网部门。这不仅将帮助他们更好地收集数据和管理他们的技术需求,还将强调安全和管理设备的重要性。分割在不幸的违规情况下也很有用,因为它允许进行快速补救,包括隔离或完全阻止来自网络的对这些设备的访问。
随着物联网技术的经济优势日益明显,以及消费者保护法不要求设备制造商集成安全特性,现在是企业专注于获得完整物联网可见性的时候了。它从理解已连接设备的清单开始,最后根据需求将这些设备划分为具有有限访问权限的网络区域。虽然许多企业甚至消费者在设备制造商的手中感到无助,但请放心,有现成的和相对简单的方法来实现您需要的能见度水平。
所有物联网议程网络贡献者对其帖子的内容和准确性负责。观点是作者的,并不一定传达物联网议程的思想。