就在不久以前,有这样一句话:消费化的每个人都在谈论这个问题。整个出版物和会议(记住引用它的创立是为了记录企业依赖于最初为消费者创造的产品和服务的趋势——这些产品和服务通常比以业务为导向的竞争对手更容易使用,质量也更高。
好吧,现在没人再谈论IT的消费化了……不是因为这个趋势已经消失了,而是因为消费技术已经渗透到商业技术的各个方面。今天,它只是事物的运作方式,如果你问我,那是好的事情。
企业物联网消费化
但现在,在2018年,这个概念的一个变体再次出现在物联网世界,它也引发了许多关于可靠性,尤其是安全性的同样担忧。
事实证明,除了“企业等级”物联网(物联网)他们购买设备,企业It团队还必须处理“消费级”设备,可以进入该公司通过各种渠道,从非It公司购买员工把他们自己的。比如智能电视、恒温器、智能音箱、健身追踪器、摄像机……基本上是除了电脑、电话或路由器以外的任何与公司网络相连的东西。
毫不奇怪,这些设备往往缺乏为企业设计的物联网产品所具备的全面安全特性。
更糟糕的是,IT团队可能甚至没有意识到这些设备正在连接到他们的网络,更不用说为它们的安全性做计划了。
在线信任联盟物联网设备清单
为了帮助企业应对这些新的漏洞,网上信任的联盟现在,一个互联网协会主动,已经发展了一种检查表用于处理企业环境中这些物联网设备的“消费化”。
OTA警告说:
许多公司的用户界面简单或根本不存在,默认(或硬编码)密码,开放的软硬件端口,有限的本地密码保护,缺乏更新能力,频繁“电话访问”,收集比预期更多的数据,使用不安全的后端服务。
使用这些设备的后果包括未经授权访问其他企业系统,通过音频、视频和数据进行监控,以及使用这些设备攻击其他连接的设备或服务。
OTA称,企业必须“充分考虑这些设备可能带来的风险,理解物联网设备可能比传统IT设备更脆弱,教育用户物联网设备风险,在控制物联网设备和创建“影子物联网”之间取得平衡。(这是另一个你现在不怎么听到的流行短语。)
关键物联网安全检查项
做所有这些都不是小事,所以趁你还能在这里下载完整清单的PDF格式,有必要提出一些关键的最佳实践。除了一些相当明显的建议,比如使用硬编码密码的产品,清单中还包括一些更实质性的建议:
- 将物联网设备降级到“独立的、有防火墙的、受监控的网络”,就像你在客户网络中一样。“这允许您限制传入流量,防止交叉到您的核心网络,并配置流量以识别异常。”
- 关掉不用的东西。这似乎是显而易见的,但该清单还建议“物理屏蔽/覆盖端口、摄像头和麦克风。”
- 确保人们无法实际访问这些物联网设备重置密码等。
- 尽可能启用加密,并考虑只允许支持加密的设备连接到您的网络。如果这是不可能的,“考虑使用VPN或其他方法来限制数据暴露。”
- 保持固件和软件更新(通过自动更新或每月检查)。避免使用不能更新的产品,遵循所有设备的生命周期,并在它们不再可更新或不再安全时将其从服务中删除。
物联网的安全性在不断发展,剔除OTA清单上的每一项并不能提供完全的保护。但这些都是有助于降低风险的直接最佳实践。忽视他们,后果自负。