在網(wǎng)絡(luò)安全方面,許多組織忽略了物聯(lián)網(wǎng)設(shè)備;但是,必須對(duì)它們給予同等的考慮,因?yàn)檫@些設(shè)備連接到互聯(lián)網(wǎng)(即打印機(jī)、安全攝像頭和智能家居集線器),可以為網(wǎng)絡(luò)犯罪分子打開方便之門。根據(jù)網(wǎng)絡(luò)安全提供商卡巴斯基的數(shù)據(jù),2021年1月至6月發(fā)生了15.1億起物聯(lián)網(wǎng)攻擊事件,其中許多網(wǎng)絡(luò)犯罪分子都利用了互聯(lián)網(wǎng)遠(yuǎn)程訪問協(xié)議。記住這一點(diǎn),創(chuàng)建有效網(wǎng)絡(luò)安全計(jì)劃的一個(gè)重要部分是保護(hù)支持互聯(lián)網(wǎng)的設(shè)備——尤其是在混合辦公環(huán)境中,工作是在辦公室和遠(yuǎn)程位置進(jìn)行。
為了防范網(wǎng)絡(luò)安全事件,組織必須了解常見的設(shè)備漏洞,為設(shè)備開發(fā)強(qiáng)大的安全保護(hù)方法,并為員工提供充足的網(wǎng)絡(luò)安全培訓(xùn)。教育是我們可以使用的最強(qiáng)大的工具,而意識(shí)到威脅是全面安全計(jì)劃的第一步。
1、了解威脅——設(shè)備漏洞和利用
在制定有效的網(wǎng)絡(luò)安全計(jì)劃時(shí),物聯(lián)網(wǎng)設(shè)備通常會(huì)被忽視,但由于它們連接到互聯(lián)網(wǎng),因此設(shè)備中的任何漏洞都可能成為整個(gè)網(wǎng)絡(luò)的后門。物聯(lián)網(wǎng)設(shè)備在工作場所中不斷被開發(fā)和利用,而實(shí)施可能缺乏安全措施的新設(shè)備可能會(huì)創(chuàng)造一個(gè)危險(xiǎn)的開放環(huán)境,進(jìn)而導(dǎo)致對(duì)新設(shè)備和舊設(shè)備的未經(jīng)授權(quán)訪問。需要解決的常見漏洞包括:
弱密碼管理:網(wǎng)絡(luò)犯罪分子利用的第一個(gè)漏洞是物聯(lián)網(wǎng)設(shè)備使用弱密碼。默認(rèn)和可猜測的密碼是物聯(lián)網(wǎng)安全的最大弱點(diǎn),許多人忽視了打印機(jī)等設(shè)備的弱密碼如何導(dǎo)致更大規(guī)模的攻擊(即DDoS和勒索軟件)。
缺乏對(duì)設(shè)備的一致更新:物聯(lián)網(wǎng)設(shè)備可能缺乏對(duì)網(wǎng)絡(luò)漏洞的定期更新和補(bǔ)丁,這使得設(shè)備隨著時(shí)間推移變得更加脆弱。設(shè)備在首次發(fā)布時(shí)可能具有很強(qiáng)的安全性,但一旦某個(gè)漏洞被惡意行為者發(fā)現(xiàn),該設(shè)備就會(huì)變得容易被利用,直到發(fā)布更新來修補(bǔ)該漏洞。
2、為物聯(lián)網(wǎng)設(shè)備制定安全措施
一旦組織意識(shí)到物聯(lián)網(wǎng)設(shè)備的安全漏洞,他們就可以采取措施來更好地保護(hù)其設(shè)備。為物聯(lián)網(wǎng)設(shè)備制定保護(hù)措施包括更好的密碼管理、更強(qiáng)的網(wǎng)絡(luò)安全實(shí)踐和適當(dāng)?shù)慕逃?br />
使用強(qiáng)憑據(jù):為每個(gè)物聯(lián)網(wǎng)設(shè)備創(chuàng)建獨(dú)特且強(qiáng)的憑據(jù)可以提高安全級(jí)別。使用密碼管理工具將成為創(chuàng)建強(qiáng)密碼的重中之重。定期更新密碼并使用特殊字符可以確保密碼安全始終保持最新。
確保定期設(shè)備更新:物聯(lián)網(wǎng)產(chǎn)品因缺乏定期更新來修補(bǔ)某些網(wǎng)絡(luò)安全漏洞而被利用,這為惡意行為者打開了大門。設(shè)備起初可能是安全的,但需要定期更新以確保漏洞不會(huì)被用于利用設(shè)備。組織必須考慮他們購買的設(shè)備,并徹底審查公司是否定期更新軟件以解決可能發(fā)現(xiàn)的任何漏洞。與制造商就設(shè)備安全和更新,以及報(bào)告漏洞進(jìn)行溝通,將為連網(wǎng)設(shè)備提供更強(qiáng)大的網(wǎng)絡(luò)主機(jī)。
對(duì)員工進(jìn)行物聯(lián)網(wǎng)安全教育:花時(shí)間培訓(xùn)員工將為整個(gè)組織提供另一種保障。當(dāng)員工意識(shí)到物聯(lián)網(wǎng)設(shè)備如何被利用,以及在評(píng)估網(wǎng)絡(luò)事件時(shí)需要注意的跡象時(shí),他們就可以迅速采取行動(dòng)來補(bǔ)救事件,并協(xié)作防止進(jìn)一步的攻擊。
3、與安全專業(yè)人員合作,持續(xù)保護(hù)設(shè)備
現(xiàn)在,網(wǎng)絡(luò)犯罪分子比以往任何時(shí)候都更愿意利用組織設(shè)備中的任何漏洞,因此與網(wǎng)絡(luò)安全專業(yè)人員合作制定保護(hù)系統(tǒng)的措施非常重要。領(lǐng)導(dǎo)者必須與安全專家合作制定計(jì)劃,提供最佳實(shí)踐和指導(dǎo)方針,包括如何幫助保護(hù)設(shè)備(例如最新的操作系統(tǒng)、瀏覽器和防火墻)、多因素身份驗(yàn)證和數(shù)據(jù)保護(hù)。
無論組織的網(wǎng)絡(luò)安全戰(zhàn)略如何,混合工作都可能會(huì)繼續(xù)帶來新的顛覆性挑戰(zhàn)。因此,安全專業(yè)人員的工作范圍將變得更加寬泛,這使得組織和員工必須與網(wǎng)絡(luò)安全專業(yè)人員合作,并了解日常風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全專業(yè)人員可以幫助指導(dǎo)領(lǐng)導(dǎo)層和員工實(shí)施和執(zhí)行新的安全政策,并定期開展更具戰(zhàn)略性的工作,以幫助緩解新的和正在出現(xiàn)的威脅。
