如果沒有政策和可見的物聯(lián)網(wǎng)技術(shù)庫存,組織將其網(wǎng)絡(luò)和數(shù)據(jù)置于未經(jīng)授權(quán)訪問固有不安全設(shè)備的風(fēng)險之中。
組織領(lǐng)導(dǎo)者每年都會部署數(shù)百萬臺設(shè)備來構(gòu)建其物聯(lián)網(wǎng)部署,但他們并不是唯一連接到組織網(wǎng)絡(luò)的設(shè)備。員工還在工作場所中部署了數(shù)量驚人的智能設(shè)備,其中許多未經(jīng)許可使用。這種趨勢稱為影子物聯(lián)網(wǎng),并可能使組織面臨風(fēng)險。
影子物聯(lián)網(wǎng)就像影子IT一樣,由于沒有IT團隊和IT安全部門對設(shè)備的可見性,并且無法監(jiān)視或保護看不見的東西,因此會帶來安全風(fēng)險。
技術(shù)市場咨詢機構(gòu)ABI Research公司的數(shù)字安全研究主管Michela Menting表示:“它給組織構(gòu)成了嚴重威脅,因為它提供了一種可以很容易地檢測到惡意流量的載體?!?/p>
對于未經(jīng)批準的技術(shù)的使用對于IT和安全主管來說已經(jīng)不是什么新鮮事了,他們數(shù)十年來一直與影子IT作斗爭。專家將影子IT定義為未經(jīng)技術(shù)部門授權(quán)或批準,也未經(jīng)安全團隊審查的硬件和軟件的實現(xiàn)和使用。
影子物聯(lián)網(wǎng)擴展了IT和安全領(lǐng)導(dǎo)者面臨的挑戰(zhàn)。他們必須在對技術(shù)的支持之間取得平衡,該技術(shù)使工人的工作更輕松,并且可以防御網(wǎng)絡(luò)安全威脅。
全球網(wǎng)絡(luò)安全組織Kudelski Security公司首席執(zhí)行官Andrew Howard說,“對于個人來說,在不知情或未經(jīng)批準的情況下,將互聯(lián)網(wǎng)連接設(shè)備或設(shè)備網(wǎng)絡(luò)添加到公司網(wǎng)絡(luò)中通常是相當(dāng)容易的。通常,用戶添加這些設(shè)備是為了個人方便或幫助他們完成工作,而不知道它們可能會給企業(yè)環(huán)境增加風(fēng)險。通常情況下,用戶在添加這些設(shè)備是出于個人方便或幫助他們完成工作,而不了解他們是這些設(shè)備中的絕大多數(shù)都不是設(shè)計安全的?!?/p>
在IT自動化和安全廠商Infoblox公司發(fā)布的名為《潛伏在網(wǎng)絡(luò)上的是什么:暴露影子設(shè)備的威脅》的報告中,最常見的影子物聯(lián)網(wǎng)設(shè)備類型是健身追蹤器、數(shù)字助理(如亞馬遜的Alexa)、智能電視、智能廚房設(shè)備(如互聯(lián)微波爐)和游戲機,比如Xbox和PlayStation。
其他影子物聯(lián)網(wǎng)設(shè)備可能包括無線打印機、無線恒溫器和監(jiān)控攝像頭,而無需IT或安全專業(yè)人員,設(shè)施部門或工作人員便可以輕松安裝它們。
一些組織還發(fā)現(xiàn)員工可以連接智能音箱、連接的燈光和RaspberryPi硬件。Infoblox產(chǎn)品營銷副總裁AnthonyJames表示,RaspberryPi是一款小型單板計算機,用戶可以對其進行配置以執(zhí)行許多任務(wù)。
James補充說:“這更多地歸結(jié)為人們正在連接的個人物品——不需要太多技術(shù)知識的設(shè)備。所有這些設(shè)備都有IP地址,它們已經(jīng)成為許多組織的一大盲點?!?/p>
影子物聯(lián)網(wǎng)如何威脅組織
智能手表和連接的設(shè)備看似無害,但專家強調(diào),影子物聯(lián)網(wǎng)給組織帶來了重大風(fēng)險。最令人擔(dān)憂的是設(shè)備本身經(jīng)常缺乏嵌入式安全性。
Menting說:“由于容量低、計算資源不足或電池有限,許多物聯(lián)網(wǎng)設(shè)備都缺乏基本的安全功能,無論是嵌入式硬件安全還是安全軟件。這意味著它們很容易被顛覆或攔截?!?/p>
黑客可以將缺乏嵌入式安全性作為進入組織網(wǎng)絡(luò)的入口,在這種情況下,權(quán)限升級使他們更受限制地訪問更敏感的信息。
Menting說,該漏洞和物聯(lián)網(wǎng)設(shè)備數(shù)量的整體增加進一步誘使不良行為者為僵尸網(wǎng)絡(luò)和拒絕服務(wù)或分布式拒絕服務(wù)攻擊而入侵或定位設(shè)備。
這不是一個假設(shè)的場景;這樣的攻擊已經(jīng)發(fā)生。在通過互聯(lián)網(wǎng)連接的魚缸訪問北美一家賭場的網(wǎng)絡(luò)后,黑客于2017年竊取了10GB的數(shù)據(jù)。
專家預(yù)計,針對物聯(lián)網(wǎng)的攻擊數(shù)量以及這些攻擊的復(fù)雜性會隨著連接設(shè)備數(shù)量的增加而增加。云安全組織Zscaler公司研究部門Threat LabZ在其有關(guān)企業(yè)物聯(lián)網(wǎng)的2020年報告中,詳細介紹了影子物聯(lián)網(wǎng)的興起以及攻擊風(fēng)險。到2020年初,受阻止的惡意軟件嘗試次數(shù)為每月14,000次,高于2019年5月的2,000件基于物聯(lián)網(wǎng)的惡意軟件,而不到一年的時間增加了7倍。
防范影子物聯(lián)網(wǎng)的威脅
對于影子物聯(lián)網(wǎng)或針對連接設(shè)備的黑客來說,IT和安全領(lǐng)導(dǎo)者并非無能為力。專家建議組織通過未遵循的人員、流程和技術(shù)政策來控制未經(jīng)批準的設(shè)備帶來的風(fēng)險。
Howard說:“可見性是預(yù)防或補救影子物聯(lián)網(wǎng)問題的第一步。組織必須了解什么設(shè)備已連接到其網(wǎng)絡(luò),然后才能有效應(yīng)對挑戰(zhàn)?!?/p>
企業(yè)IT和安全主管必須確定應(yīng)使用哪些策略來管理連接到組織網(wǎng)絡(luò)的設(shè)備。他們還應(yīng)使用IP地址管理工具等技術(shù)來創(chuàng)建連接到網(wǎng)絡(luò)的設(shè)備清單。然后,他們可以使用自動化和威脅情報來執(zhí)行策略并防御黑客。
組織必須從一開始就建立安全性和有效的管理。Howard表示,市場上有以物聯(lián)網(wǎng)為重點的工具,它們可以提供可視性,并提供有關(guān)特定物聯(lián)網(wǎng)設(shè)備帶來的風(fēng)險的場景。
組織可以開發(fā)和應(yīng)用基于策略的方法來隔離或阻止試圖連接到公司網(wǎng)絡(luò)的未知IT和物聯(lián)網(wǎng)設(shè)備。這樣,許多組織可以批準未知的設(shè)備連接,但只能批準到專門針對無法訪問組織資源的不受信任設(shè)備的網(wǎng)段。
責(zé)編AJX
-
數(shù)據(jù)
+關(guān)注
關(guān)注
8文章
6898瀏覽量
88833 -
物聯(lián)網(wǎng)
+關(guān)注
關(guān)注
2903文章
44280瀏覽量
371305 -
網(wǎng)絡(luò)安全
+關(guān)注
關(guān)注
10文章
3127瀏覽量
59603
發(fā)布評論請先 登錄
相關(guān)推薦
評論