图片来源:https://pixabay.com/images/id-5096394/
互联系统正在协助组织从办公室向家庭工作转变。对许多人而言,这种转变并不是出于选择,而是必然。然而,这些互联系统、物联网(IoT)和智能设备如果没有得到应有的考虑和适当的管理,可能会对安全产生深远影响。
漏洞正在扩大,安全措施必须到位
向远程工作的转变意味着办公室提供的强大安全性已经发生了变化,随着我们所有的远程工作场所(家庭)和使用的多种设备(物联网和智能设备)和服务的增加,易受攻击的范围扩大了。黑客们正在利用这一转变所带来的漏洞,而组织正以以前没有注意到的方式将其漏洞暴露出来。
从家用电器到联网汽车,我们家里安装了各种各样的物联网设备,而且这种情况并不少见。人们使用健康和医疗设备、环境控制、游戏和媒体设备以及摄像头和安全系统,而黑客则正在利用这些不断增加的载体发起攻击。
此外,大多数情况下,安全协议仍局限于办公室,并且员工在不了解所面临的安全威胁的情况下采用技术,使用设备和服务。许多技术和服务没有为这种转变和服务的大规模使用做好准备,而且许多技术和服务缺乏保护用户及其组织所需的必要安全性。
特别值得注意的是,随着许多设备相互连接并自动相互通信,包括更新、监测、管理和保护在内的工作仍然是事后才想到的,或者被人们完全忽略了。
物联网设备在我们的家庭和办公室中共存,为了改善我们的安全态势,组织需要采取积极的安全防护措施。
物联网设备缺乏安全性
物联网具有巨大的潜力,然而,在大多数情况下,它缺乏必要的安全措施,这可能会影响组织的安全性。物联网设备是黑客可以窃取有价值信息的绝佳途径。
由于物联网设备已成为主流,而且不注重安全性,因此组织需要优先获得物联网设备的可见性。由于这些设备的功能是提供可访问性和连接性,因此,不安全的物联网设备可能会危害组织的整个网络。此外,如果远程工作人员的设备连接到公司网络,则公司可能容易受到攻击。
此外,并非所有员工都精通技术,这意味着安全性并不是他们工作的重点。他们不会更改默认密码,也不会意识到威胁和风险,因此员工本身往往是最大的安全漏洞。
物联网安全风险
物联网设备缺乏安全指导,因此很难保护。对于制造商来说,尤其是在开发初期,设备的安全性并不是优先考虑的问题。许多设备在推出时都是使用默认密码,而且用户也没有对其进行更改。这导致了安全问题,而且许多设备(“定时炸弹”)留在家里并向黑客开放。由于许多设备天生并不安全,因此它们需要手动进行安全更新,然而大多数情况下,用户不会对这些设备进行安全更新。由于缺乏物联网方面的教育和提供的安全指导不足,这一问题至今仍然存在。
必须评估物联网通过远程工作给组织带来的风险。组织需要评估每个物联网设备可能对数据的机密性、完整性和可用性造成的风险。公司应采取适当的控制措施,并确保接入点的安全。
保护措施
培训
确保员工了解物联网设备给公司、其网络和数据带来的风险和漏洞。对员工进行数据安全及其重要性的培训。培训家庭网络风险以及确保所有设备和服务(包括属于儿童的设备和服务)不使组织面临与安全相关问题的重要性。
远程工作人员的责任
对于组织来说,有效地管理员工家中的安全性具有挑战性。因此,对于物联网,远程工作的员工应该承担一定程度的责任来改善其家庭网络的安全态势。每个人都应发挥作用,以确保足够的安全性。
本质上,在家里,员工需要在一定程度上承担其物联网系统的IT技术员和评估员的角色。这与培训密不可分。因此,需要对员工进行各方面的培训,包括更改设备和路由器默认密码的重要性,例如,使用多因素身份验证(MFA),以及关于密码使用和管理的最佳实践。告知他们采取措施,例如在公司通话期间关闭智能扬声器,以及将其家庭网络分段以将物联网设备与公司资产分开的好处,都是朝着正确方向迈出的一步。此外,对未遂攻击保持警惕,包括网络钓鱼未遂和针对物联网的攻击以及物联网安全威胁和风险。
监控服务
要求远程用户使用远程监控软件。对于某些人来说,这似乎是一种最常用的方法,但是对于远程工作,这是一种渐进的安全措施。服务可以主动监测行为并发现任何异常情况。通过数据收集和分析,可以为每个用户配置文件识别“正常行为”,并且可以检测到任何异常行为并采取措施。此外,可以在访问或复制特定数据时设置警报。这是防止数据丢失的有效措施。
身份和访问管理控制
获得物联网设备的可见性对于有效地管理和保护它们至关重要。如果处理得当,将会实现强大的身份和访问管理控制,并监测流经物联网系统的敏感数据。
避免自动信任设备
作为提高物联网设备可见性的一部分,默认情况下,不得信任连接到组织网络的设备。信任决策应该基于设备的连接位置及其目的或功能。应持续评估设备的价值及其带来的潜在风险,并就其要求做出决定。
管理权限
虽然工作人员是远程的,但是可以通过管理权限来适当地管理对数据的访问。确定谁需要访问哪些数据,并根据需要限制访问。切记要考虑最低权限规则,不要允许超出工作职能所需的访问权限。一种更合理的方法是在适当时候根据请求允许访问,而不是默认情况下允许所有员工拥有完全访问权限。
物联网设备的家庭网络策略
对于组织而言,禁止远程工作人员在其家庭网络上使用物联网设备可能不合适。然而,由于物联网设备在员工家中使用,因此在远程/家庭工作人员的政策中强调物联网设备在访问组织网络之前必须满足的安全要求是有益的。这方面的培训至关重要。除了将其纳入政策之外,还必须对员工进行有关此方面的培训,并让他们意识到自己在这方面的责任。在督促员工遵守这一政策的同时,公司还应相应地调整网络。因此,组织需要确保对员工进行有关物联网设备和安全意识的必要培训。
加密
为远程工作人员提供加密网络,这是引入额外安全层的有效方法。请记住,分层防御通常可以提高安全性。每一层都有自己独特的控制,它们共同提供了一个稳健的安全解决方案。使用虚拟专用网可以在访问时保护网络,因为所有连接和通信都经过加密。因此,无论员工家中的物联网连接如何,虚拟专用网都可以通过加密来提供高安全级别。
主动的安全方法
远程工作扩展了物联网生态系统。黑客利用家庭设置的弱认证来锁定网络和有价值的数据,并利用我们家庭中的物联网设备作为跳板,以获取对组织资产的访问权限。这导致组织的攻击面不断扩大。物联网设备受到攻击的可能性很高。从这一点来看,恶意软件可能会从设备转移到员工的终端设备,并在组织内部横向传播。如果不能有效地管理此漏洞,则后果可能是灾难性的。
由于远程工作人员访问他们的家庭网络,在那里可能集成很多物联网设备,因此组织必须从不同角度来考虑安全性,以了解物联网设备如何影响组织。也因此,组织必须优先考虑确保远程工作人员有效保护网络的方法。(编译iothome)
