物联网(IOT)互联网不再是一些未来的事这几年开来被一些IT领导者需要关注的。物联网时代已经来临。事实上,Gartner预测将有20.4十亿连接设备的全球到2020年。
另一个证据是,当我和人们谈论他们公司的物联网计划时,他们不再像几年前那样看着我。事实上,“物联网”这个术语通常都不会出现。企业正在将更多的“事物”连接起来,以创建新的流程、提高效率或改善客户服务。
但与此同时,新的安全挑战也出现了。其中一个就是没有“简单按钮”。“IT专业人员不能仅仅部署某种黑盒来保护一切。保护物联网是一个多方面的问题,有许多因素要考虑,它必须建立在任何物联网计划。
以确保物联网终端相关的最大挑战
- 物理安全被忽视了。企业投入的时间和精力显著量网络安全。然而,物理安全往往是一种事后的想法或完全忽视。设备需要防止盗窃或硬件黑客得到保护。由于物联网通常是由非IT人部署,可以有很多的设备,IT部门都不知情。这些未知设备可以从一个控制台或USB端口被破坏,并创建后门到其他网络。IT和网络安全团队需要自动化的物联网终端的发现一个更好的方式。
- 传统的安全不与物联网工作。如今的网络安全主要集中在用昂贵的大型防火墙保护网络周边,但ZK Research发现只有27%的入侵发生在那里。(注:我是ZK Research的员工。)尽管仍然需要防火墙来保护网络,物联网设备使网络内部发生破坏。物联网要求企业重新考虑其安全战略,并将重点放在内部网络上。物联网设备的另一个因素是,许多设备会连接回云服务,以提供状态更新或其他信息。这从内部给防火墙打了一个合法但容易被入侵的洞。
- 许多物联网设备本质上是不安全的。大多数IT端点,例如个人电脑和移动设备的一些嵌入式安全功能,也可以有一个代理放在他们。虽然很多物联网设备都有老的操作系统,嵌入式密码,以及没有能力通过常驻代理固定。这凸显了这里的一切都连接一个世界重新思考安全的重要性。如果端点不能保证,那么保护需要转移到网络上。
- 网络安全变得越来越复杂。防止外部威胁过去是一个简单的过程:在外围设置最先进的防火墙,并信任网络中的所有东西。当所有应用程序和端点都在IT部门的控制之下时,这是有意义的。然而今天,工人们带着他们自己的设备,云服务的广泛使用,创造了新的入口点。为了解决这个问题,安全团队已经部署了更多的利基点产品,这通常会增加复杂性。我的研究发现,企业平均使用32家安全供应商,而且这个数字还在增长——导致环境变得越来越复杂,越来越不安全。此外,IT部门今天也在努力管理当前的联网设备。增加三到五倍的端点将使许多安全团队不堪重负。
- 盲点的数量激增。将来自不同厂商的安全工具拼凑在一起似乎是一种合理的策略,因为每个设备都旨在解决特定的问题。然而,这种方法留下了大量的盲点,因为设备之间几乎没有通信。此外,该体系结构缺乏自动化,因此必须一次完成这些设备的配置,这意味着更改通常需要数月的时间来实现。这种延迟将组织置于严重的风险中。
没有一个全面的物联网战略将使企业面临风险
了解没有一个全面的物联网安全策略的风险有多大是很重要的。物联网的成功需要许多过程一起工作。任何时候的漏洞都可能导致停机,并可能丢失敏感数据。在许多垂直行业,如医疗保健、州政府和地方政府、制造业和银行业,物联网服务是关键任务,因此任何类型的中断都可能给企业造成数百万美元的损失。事实上,2016年5月,波耐蒙研究所(Ponemon Institute)发现,数据泄露的平均成本为362万美元,高于2015年的350万美元。
目前在物联网巨大的商业价值,我强烈建议企业是积极与部署。但是,我还建议建立安全纳入计划,而不是试图部署后实施。