物联网(IoT,InternetofThing)除了改变家庭生活方式外,也让很多企业发生重大的转变,其中最明显的转变就是工作场所开始出现员工自己的各类IoT设备。新冠疫情爆发后,员工被迫在家办公,很多企业不得不采用BYOD(个人自备设备)模式,笔记本电脑、平板、智能手机等移动设备的安全问题着实令企业头疼,这也给企业保护商业秘密及数据安全带来了巨大挑战。
随着企业导入所谓的BYOD政策,员工可以将自己的笔记本电脑、平板、智能手机带到工作场所使用,并连上办公网络,这已经是大家熟悉的情景,但如今又有了新的变化。现在,员工也时常将自己个人的IoT设备携带到公司以方便他们在上班时使用。这类设备包括:智能手表与健身手环等穿戴设备、电子书阅读器与手持式游戏机,甚至是智能咖啡机与智能打印机等便携型家电。
然而,这类IoT设备大量进入工作场却给企业(尤其是安全团队)带来了许多新的挑战。安全团队除了必须保护员工的笔记本电脑、平板、智能手机这些主流BYOD设备的安全以及企业本身的资产之外,现在又必须面对消费型IoT设备日益普及所带来的风险和威胁。尤其,这类新式IoT设备遭黑客入侵的一些事件已突显出科技方便性的背后也伴随着一些安全隐忧,而这并非所有企业都能应付的。
公司现有的BYOD政策与管理程序,对于防范未经授权的存取与守护企业资产扮演着重要的角色。然而,随着越来越多员工将自己的IoT设备带到公司,这些政策和程序将必须跟着IoT安全形式的演变而调整。针对这点,小编总结了以下一些建议来减少BYOD环境中的IoT设备最常遇到的风险和威胁。
漏洞
黑客一向善于利用设备的漏洞来发动攻击,IoT设备也不例外。其实,近年来一些登上媒体头条并且对企业造成重大损失的IoT设备安全事件都是因为漏洞攻击所引起。很多时候,这些事件所牵涉到的漏洞其实早已有相关的修补更新可使用。事实上,未进行修补更新是企业必须正视的问题,尤其,黑客能利用这些漏洞进一步在企业内四处游走,从被黑的设备入侵企业网络和资产。
企业应制定一套登记程序,让员工先向IT和安全部门登记之后,才能将设备连上公司网络。登记时,必须记载所有相关的设备与系统信息,并妥善做好设备的安全设定以及其他重要步骤。此外,也建议企业应不断提升员工的安全意识,提醒他们随时安装设备厂商提供的最新修补更新。
黑客
员工带到BYOD环境中使用的IoT设备(不论智能手表、健康手环、智能喇叭、智能瑜珈垫等),大多会连续使用一段时间。但这样就能让黑客利用设备的某些功能来渗透企业网络,尤其是这些设备的安全措施一般来说都相当贫乏。黑客一旦渗透企业网络,就能从事各种恶意活动,例如:扫描设备是否有其他漏洞、窃听网络来搜集数据、窃取系统上的信息、入侵服务器系统、将设备收编到僵尸网络等。
鼓励员工熟悉自己的IoT设备功能,尤其是一些隐藏版功能或元件。此外,除了要求员工确实向公司登记个人设备之外,企业也应架设一个独立于营运网络之外的网络来让这些设备上网。同时,采用一套多层式安全防护,从网络到端点全面侦测、拦截恶意活动也很重要。
针对性攻击
简单上网搜寻一下就能发现各式各样的设备都暴露在网络上,如:智慧手表与智慧喇叭,以及其他可能也暴露在外的相关系统。这一点相当令人担忧,原因是黑客向来专挑暴露在外的设备下手,他们会搜集设备的信息、评价设备和系统是否有可用的漏洞,好方便他们策划一场针对性攻击。黑客只要随便在网络上搜寻一下,就能利用各种技巧来渗透目标企业的网络和资产,进而造成企业损失。
企业应定期扫描自己的网络上是否有暴露在外的设备、连接埠及其他不法分子可利用的漏洞。而扫描到的安全缺口也应采取必要措施来加以弥补。不但如此,企业还应该实施安全意识提升计划和训练来倡导安全优先的观念,并采取预防措施以防止设备暴露在外。
数据外泄
智能手表与一般手表一样可能会遗失或失窃,但差别在于,遗失智能手表有信息或数据外泄的风险,其中可能含有储存在电子邮件或记事本应用程序当中的企业敏感信息,尤其是携带到BYOD环境中使用的智能手表。设备遗失或失窃是BYOD重要的安全疑虑之一,因为它们可能含有一些不法分子可用于从事破坏或间谍活动的数据或信息。一些大型的数据外泄事件,经常都是因为设备遗失或失窃所引起,所以这是企业导入BYOD的一项重要隐忧。根据调查发现,那些允许员工将个人设备连上公司网络的受访企业有半数曾经发生某种形式的数据外泄。
IT和安全团队应列出他们建议启用的设备安全设定,并定期检查网络存取权限与储存设定。藉由这样的程序逐一检查并自定义公司的安全设定,根据业务的需求实施更严格的信息存取控管,尤其必须考察遵守法规与数据隐私保护相关的国际规范要求。企业应鼓励员工主动告知IT和安全团队他们携带了什么设备到工作场所使用,并尽可能开启设备上的多重验证与数据加密功能。此外,当员工设备不小心遗失或失窃时,应立即通知IT和安全团队。这除了能够强化安全团队监控、侦测、拦截威胁与攻击的能力外,也有助于迅速判断试图入侵的威胁类型、控制遗失或失窃的冲击,并且找出攻击确切使用的设备。
培养良好的安全文化,对于员工个人设备与公司资产并存的环境来说尤其重要。随着消费型IoT设备在工作场所日益普及,安全文化就更加重要。因此,企业应重新评价自己的BYOD政策,重新培养BYOD环境的安全意识。企业或员工都责无旁贷的一件事就是:应对持续不断成长的IoT潮流,要从观念到实践,将安全意识整合到BYOD的政策及管理程序当中。