不可否认,物联网存在大量数据保护陷阱,但安全供应商Zscaler的新研究强调,最严重的问题之一源自“影子物联网”(shadow IoT)的增长趋势,即在企业网络上使用员工拥有的设备。
该公司发布的《物联网在企业2020年》(IoT in The Enterprise 2020)报告称,家庭和办公室之间界限的模糊正在降低企业网络的安全性,尽管企业正在努力解决严格意义上的企业物联网终端(如数据收集终端和工业控制设备)的安全问题。
报告称:“分析还显示,未经授权的物联网设备(如数字家庭助理、电视机顶盒、IP摄像头、智能家居设备、智能电视、智能手表,甚至汽车多媒体系统)也会产生企业流量。”
根据对Zscaler客户网络流量的分析,该报告称,83%的在线物联网交易(Zscaler用来表示设备间通信实例的术语)都是以纯文本形式发送的,没有使用SSL。部分原因在于,面向消费者的物联网设备往往远不如面向企业的设备安全,这凸显了企业网络上不安全流量的潜在规模。
这个问题与企业多年前经历的BYOD现象类似,当时BYOD现象发生在十多年前。公司的网络对大量涌入的新终结点没有足够的准备,导致人们急于开发新的方法来保护这些网络不受意外和机会主义妥协的影响。
之前的问题是员工在一个不安全的方式使用智能手机访问企业资源——比如,存储敏感,未加密的数据容易丢失或被盗的iPhone——现在的问题是工人使用公司网络连接到低收入低保险装置,像保姆凸轮远程检查,根据Zscaler。坏人可以在所有这些纯文本通信中查找登录凭证,并使用它们访问更安全的系统,或者将不安全的设备纳入僵尸网络。
当然,对报告中的一些细节持保留态度是值得的——安全供应商在对其产品所要解决的问题进行研究时,并不以平衡和克制著称。然而,大量不安全的纯文本通信和企业网络上的消费物联网设备的扩散无疑是严重的问题。