物聯(lián)網(wǎng)時(shí)代已經(jīng)來(lái)臨,你的安全計劃部署到位了嗎?如果還沒(méi)有,現在是時(shí)候開(kāi)始進(jìn)行規劃了。物聯(lián)網(wǎng)不僅僅是關(guān)于汽車(chē)、鐘表和咖啡機,而是全新前沿的聯(lián)網(wǎng)設備,這些設備直接和間接地影響著(zhù)企業(yè)安全。最近企業(yè)的討論焦點(diǎn)一直圍繞在一般企業(yè)網(wǎng)絡(luò )是否能夠處理物聯(lián)網(wǎng)的帶寬要求,這是值得思考的問(wèn)題,但相較而言,不可避免的安全問(wèn)題似乎來(lái)得更為重要。
企業(yè)一直在艱難地保持其傳統網(wǎng)絡(luò )系統的安全性,很多人不知道其系統的位置,特別是敏感數據的位置。還有一些人則不清楚其當前安全狀態(tài)或者在特定時(shí)間網(wǎng)絡(luò )在發(fā)生什么。毫無(wú)疑問(wèn),由IT和安全人員組成的最大群體難以讓管理層和普通用戶(hù)群保持安全性。對于保護物聯(lián)網(wǎng)安全,這些問(wèn)題變得更具挑戰性,我預計我們將遇到前所未有的安全問(wèn)題。
從我進(jìn)入信息安全行業(yè)以來(lái),我一直信奉這樣一個(gè)準則,如果系統有IP地址或者URL,并且它以任何方式接觸業(yè)務(wù)網(wǎng)絡(luò )或處理敏感信息的話(huà),那么它就可能成為攻擊目標。而且它也應該屬于現有安全管理計劃的范圍內。移動(dòng)設備、即時(shí)通訊、社交媒體等同樣是如此,我們無(wú)法阻止物聯(lián)網(wǎng)的發(fā)展,它應該成為你的安全討論的前沿和中心。
遵守游戲規則
最小化信息風(fēng)險的核心原則之一是制定出一套規則,并遵守這些規則,即精心編寫(xiě)的安全策略。如果沒(méi)有設置適當的期望值,就會(huì )很混亂,就像我們在攜帶自己設備到工作場(chǎng)所(BYOD)趨勢中所看到的那樣。好消息是,保護物聯(lián)網(wǎng)安全或者保護你的企業(yè)免受它的影響,與保護網(wǎng)絡(luò )的任何其他方面沒(méi)有太大的不同。這是關(guān)于角度和重點(diǎn)的問(wèn)題。對于企業(yè)中的物聯(lián)網(wǎng),下面是你必須考慮的以安全策略為中心的問(wèn)題:
你現有的安全策略將發(fā)揮怎樣的作用?你不必從頭開(kāi)始。圍繞密碼、漏洞修復和系統監控的現有政策可能就夠了。最重要的是確保物聯(lián)網(wǎng)在每個(gè)政策的范圍之內。
是否需要新的安全策略?你可能會(huì )發(fā)現你需要圍繞網(wǎng)絡(luò )分段和訪(fǎng)問(wèn)控制的新的(或更新的)政策,以確保這些設備的安全性,類(lèi)似于你處理無(wú)線(xiàn)接入點(diǎn)和訪(fǎng)客互聯(lián)網(wǎng)連接的方式。對此,一定要考慮物聯(lián)網(wǎng)對業(yè)務(wù)合作伙伴、供應商和客戶(hù)的影響,畢竟他們都有著(zhù)到你環(huán)境的網(wǎng)絡(luò )連接。另外,員工在家里的每個(gè)物聯(lián)網(wǎng)設備會(huì )通過(guò)VPN給企業(yè)網(wǎng)絡(luò )帶來(lái)什么額外的風(fēng)險呢?
誰(shuí)來(lái)確保你的政策是可執行的,并且實(shí)際得到執行來(lái)最小化你的物聯(lián)網(wǎng)風(fēng)險呢?管理層和用戶(hù)可能會(huì )對圍繞核心業(yè)務(wù)應用的政策買(mǎi)賬,但他們如何去理解對看似無(wú)害且跟業(yè)務(wù)沒(méi)什么關(guān)聯(lián)的設備的保護呢?你需要能夠量化這種風(fēng)險,通過(guò)執行風(fēng)險風(fēng)險分析和確定威脅利用物聯(lián)網(wǎng)漏洞的可能性,以及這些威脅帶來(lái)的潛在影響。良好的BYOD安全計劃不僅能夠表明即將來(lái)到的事物;它必須為你的物聯(lián)網(wǎng)政策執行奠定基礎。
誰(shuí)來(lái)監控物聯(lián)網(wǎng)?在不久的將來(lái)的某個(gè)時(shí)候,你可能會(huì )考慮增加網(wǎng)絡(luò )中主機的數量。你是否需要額外的人手來(lái)確保一切正常進(jìn)行?你的托管安全服務(wù)提供商能否容納這些系統?
我通常不會(huì )相信與新興IT領(lǐng)域相關(guān)的營(yíng)銷(xiāo)炒作,例如云計算和大數據,但對于物聯(lián)網(wǎng)并不是這樣。該術(shù)語(yǔ)有些炒作成分,但其給企業(yè)帶來(lái)的影響是真的。據思科估計,到2020年物聯(lián)網(wǎng)將會(huì )增長(cháng)到500億設備,這是相當大的數據,在某種程度上需要引起你的關(guān)注。這些設備可能會(huì )打開(kāi)進(jìn)入你網(wǎng)絡(luò )的后門(mén),它們可能會(huì )推動(dòng)惡意軟件的傳播,它們還可能存儲敏感商業(yè)信息,它們可能導致拒絕服務(wù)攻擊的情況。你的企業(yè)做好準備了嗎?你是否能夠從你目前正在做的工作中調出時(shí)間來(lái)應對這個(gè)正在入侵你網(wǎng)絡(luò )的新的趨勢?
復雜性是實(shí)現有效安全性的最大障礙之一,而物聯(lián)網(wǎng)安全問(wèn)題無(wú)疑將成倍地加重這種復雜性,無(wú)論是在大型企業(yè)還是小型企業(yè)。你將需要比以往任何時(shí)候更好、更快和更便宜地實(shí)現安全性。現在是時(shí)候思考如何應對你網(wǎng)絡(luò )以及與你業(yè)務(wù)相關(guān)的其他網(wǎng)絡(luò )中的物聯(lián)網(wǎng)趨勢。部署合適的人員,至少應該從政策更新開(kāi)始,列出你正在對這些聯(lián)網(wǎng)設備做什么和沒(méi)有做什么,允許和不允許什么。政策并不是安全的靈丹妙藥。事實(shí)上,它們經(jīng)常會(huì )制造安全和“合規”方面的錯覺(jué),導致弊大于利。但你應該從政策開(kāi)始,任何追求更好更安全的物聯(lián)網(wǎng)的積極行動(dòng)都將在長(cháng)期給企業(yè)帶來(lái)回報。
