在網絡安全方面,許多組織忽略了物聯網設備;但是,必須對它們給予同等的考慮,因為這些設備連接到互聯網(即打印機、安全攝像頭和智能家居集線器),可以為網絡犯罪分子打開方便之門。根據網絡安全提供商卡巴斯基的數據,2021年1月至6月發生了15.1億起物聯網攻擊事件,其中許多網絡犯罪分子都利用了互聯網遠程訪問協議。記住這一點,創建有效網絡安全計劃的一個重要部分是保護支持互聯網的設備——尤其是在混合辦公環境中,工作是在辦公室和遠程位置進行。
為了防范網絡安全事件,組織必須了解常見的設備漏洞,為設備開發強大的安全保護方法,并為員工提供充足的網絡安全培訓。教育是我們可以使用的最強大的工具,而意識到威脅是全面安全計劃的第一步。
1、了解威脅——設備漏洞和利用
在制定有效的網絡安全計劃時,物聯網設備通常會被忽視,但由于它們連接到互聯網,因此設備中的任何漏洞都可能成為整個網絡的后門。物聯網設備在工作場所中不斷被開發和利用,而實施可能缺乏安全措施的新設備可能會創造一個危險的開放環境,進而導致對新設備和舊設備的未經授權訪問。需要解決的常見漏洞包括:
弱密碼管理:網絡犯罪分子利用的第一個漏洞是物聯網設備使用弱密碼。默認和可猜測的密碼是物聯網安全的最大弱點,許多人忽視了打印機等設備的弱密碼如何導致更大規模的攻擊(即DDoS和勒索軟件)。
缺乏對設備的一致更新:物聯網設備可能缺乏對網絡漏洞的定期更新和補丁,這使得設備隨著時間推移變得更加脆弱。設備在首次發布時可能具有很強的安全性,但一旦某個漏洞被惡意行為者發現,該設備就會變得容易被利用,直到發布更新來修補該漏洞。
2、為物聯網設備制定安全措施
一旦組織意識到物聯網設備的安全漏洞,他們就可以采取措施來更好地保護其設備。為物聯網設備制定保護措施包括更好的密碼管理、更強的網絡安全實踐和適當的教育:
使用強憑據:為每個物聯網設備創建獨特且強的憑據可以提高安全級別。使用密碼管理工具將成為創建強密碼的重中之重。定期更新密碼并使用特殊字符可以確保密碼安全始終保持最新。
確保定期設備更新:物聯網產品因缺乏定期更新來修補某些網絡安全漏洞而被利用,這為惡意行為者打開了大門。設備起初可能是安全的,但需要定期更新以確保漏洞不會被用于利用設備。組織必須考慮他們購買的設備,并徹底審查公司是否定期更新軟件以解決可能發現的任何漏洞。與制造商就設備安全和更新,以及報告漏洞進行溝通,將為連網設備提供更強大的網絡主機。
對員工進行物聯網安全教育:花時間培訓員工將為整個組織提供另一種保障。當員工意識到物聯網設備如何被利用,以及在評估網絡事件時需要注意的跡象時,他們就可以迅速采取行動來補救事件,并協作防止進一步的攻擊。
3、與安全專業人員合作,持續保護設備
現在,網絡犯罪分子比以往任何時候都更愿意利用組織設備中的任何漏洞,因此與網絡安全專業人員合作制定保護系統的措施非常重要。領導者必須與安全專家合作制定計劃,提供最佳實踐和指導方針,包括如何幫助保護設備(例如最新的操作系統、瀏覽器和防火墻)、多因素身份驗證和數據保護。
無論組織的網絡安全戰略如何,混合工作都可能會繼續帶來新的顛覆性挑戰。因此,安全專業人員的工作范圍將變得更加寬泛,這使得組織和員工必須與網絡安全專業人員合作,并了解日常風險。網絡安全專業人員可以幫助指導領導層和員工實施和執行新的安全政策,并定期開展更具戰略性的工作,以幫助緩解新的和正在出現的威脅。
