就在不久以前,这句话消费化的每个人都在谈论。整个出版物和会议(记住引用?,为IT消费化的企业)创建纪事公司依靠最初是为消费者创造产品和服务的趋势 - 这是通常更容易使用,也比其面向企业的竞争对手更高的质量。
好吧,没有人再谈论IT的消费化了……不是因为这种趋势已经消失了,而是因为消费技术已经渗透到商业技术的各个方面。今天,这就是事物的运作方式——如果你问我,那是a好事情。
企业物联网的消费化
但现在,在2018年,这一概念的变化返回在物联网的世界,它提高了许多各地的可靠性同样的担忧,特别是安全性。
事实证明,除了“企业等级”物联网(物联网)他们购买设备,企业It团队还必须处理“消费级”设备,可以进入该公司通过各种渠道,从非It公司购买员工把他们自己的。例如智能电视、恒温器、智能音箱、健身追踪器、摄像机……基本上是任何连接到公司网络的东西,除了电脑、电话或路由器。
毫不奇怪,这些设备往往缺乏对物联网的产品专为企业使用更常见的全面的安全功能。
更糟糕的是,IT团队可能甚至没有意识到这些设备正在连接到他们的网络上,更不能够为它们的安全做计划。
在线信任联盟物联网设备清单
为了帮助企业应对这些新的漏洞,该网上信任的联盟,现在的互联网协会主动,先后开发了检查表用于处理企业环境中这些物联网设备的“消费化”。
OTA警告说:
许多用户界面简单或不存在,默认的(或硬编码的)密码,开放的硬件和软件端口,有限的本地密码保护,缺乏更新能力,经常“打电话回家”,收集比预期更多的数据,并使用不安全的后端服务。
使用这些设备的后果包括未经授权访问其他企业系统,通过音频、视频和数据进行监视,以及使用这些设备攻击其他连接的设备或服务。
OTA认为,企业必须“充分考虑这些设备可能带来的风险,了解物联网设备可能比传统IT设备更脆弱,教育用户物联网设备风险,在控制物联网设备和创建“影子物联网”之间取得平衡。(这是另一个你现在很少听到的流行语。)
物联网安全检查清单中的关键项目
尽一切几乎微不足道,因此,尽管你可以在这里下载整个清单的PDF格式,我们有必要提出一些关键的最佳实践。除了一些比较明显的建议,比如使用硬编码密码的产品,清单还包括一些更实质性的建议:
- 贬低的IoT设备到一个“独立的,防火墙,监测的网络,”就像在客户网络中一样。“这允许你限制传入流量,防止交叉到你的核心网络,并配置流量来识别异常。”
- 关闭这不是正在使用的东西。这似乎是显而易见的,但检查表也建议“对端口、摄像头和麦克风进行物理屏蔽/覆盖。”
- 确保人们无法实际访问这些物联网设备重置密码,等等。
- 尽可能启用加密,并考虑只允许支持加密的设备连接到您的网络。如果这是不可能的,“考虑使用VPN或其他方法来限制数据暴露。”
- 保持固件和软件的更新(通过自动更新或每月检查)。避免无法更新的产品,遵循所有设备的生命周期,并在它们不再可更新或不再安全时从服务中删除它们。
物联网安全仍在继续发展,检查OTA列表上的每一项并不能提供完整的保护。但是这些都是可以帮助降低风险的直接的最佳实践。忽视他们,你就会有危险。