物联网时代已经来临,你的安全计划部署到位了吗?如果还没有,现在是时候开始进行规划了。
物联网不仅仅是关于汽车、钟表和咖啡机,而是全新前沿的联网设备,这些设备直接和间接地影响着企业安全。最近企业的讨论焦点一直围绕在一般企业网络是否能够处理物联网的带宽要求,这是值得思考的问题,但相较而言,不可避免的安全问题似乎来得更为重要。
企业一直在艰难地保持其传统网络系统的安全性,很多人不知道其系统的位置,特别是敏感数据的位置。还有一些人则不清楚其当前安全状态或者在特定时间网络在发生什么。毫无疑问,由IT和安全人员组成的最大群体难以让管理层和普通用户群保持安全性。对于保护物联网安全,这些问题变得更具挑战性,我预计我们将遇到前所未有的安全问题。
从我进入信息安全行业以来,我一直信奉这样一个准则,如果系统有IP地址或者URL,并且它以任何方式接触业务网络或处理敏感信息的话,那么它就可能成为攻击目标。而且它也应该属于现有安全管理计划的范围内。移动设备、即时通讯、社交媒体等同样是如此,我们无法阻止物联网的发展,它应该成为你的安全讨论的前沿和中心。
遵守游戏规则
最小化信息风险的核心原则之一是制定出一套规则,并遵守这些规则,即精心编写的安全策略。如果没有设置适当的期望值,就会很混乱,就像我们在携带自己设备到工作场所(BYOD)趋势中所看到的那样。好消息是,保护物联网安全或者保护你的企业免受它的影响,与保护网络的任何其他方面没有太大的不同。这是关于角度和重点的问题。对于企业中的物联网,下面是你必须考虑的以安全策略为中心的问题:
你现有的安全策略将发挥怎样的作用?你不必从头开始。围绕密码、漏洞修复和系统监控的现有政策可能就够了。最重要的是确保物联网在每个政策的范围之内。
是否需要新的安全策略?你可能会发现你需要围绕网络分段和访问控制的新的(或更新的)政策,以确保这些设备的安全性,类似于你处理无线接入点和访客互联网连接的方式。对此,一定要考虑物联网对业务合作伙伴、供应商和客户的影响,毕竟他们都有着到你环境的网络连接。另外,员工在家里的每个物联网设备会通过VPN给企业网络带来什么额外的风险呢?
谁来确保你的政策是可执行的,并且实际得到执行来最小化你的物联网风险呢?管理层和用户可能会对围绕核心业务应用的政策买账,但他们如何去理解对看似无害且跟业务没什么关联的设备的保护呢?你需要能够量化这种风险,通过执行风险风险分析和确定威胁利用物联网漏洞的可能性,以及这些威胁带来的潜在影响。良好的BYOD安全计划不仅能够表明即将来到的事物;它必须为你的物联网政策执行奠定基础。
谁来监控物联网?在不久的将来的某个时候,你可能会考虑增加网络中主机的数量。你是否需要额外的人手来确保一切正常进行?你的托管安全服务提供商能否容纳这些系统?
我通常不会相信与新兴IT领域相关的营销炒作,例如云计算和大数据,但对于物联网并不是这样。该术语有些炒作成分,但其给企业带来的影响是真的。据思科估计,到2020年物联网将会增长到500亿设备,这是相当大的数据,在某种程度上需要引起你的关注。这些设备可能会打开进入你网络的后门,它们可能会推动恶意软件的传播,它们还可能存储敏感商业信息,它们可能导致拒绝服务攻击的情况。你的企业做好准备了吗?你是否能够从你目前正在做的工作中调出时间来应对这个正在入侵你网络的新的趋势?
复杂性是实现有效安全性的最大障碍之一,而物联网安全问题无疑将成倍地加重这种复杂性,无论是在大型企业还是小型企业。你将需要比以往任何时候更好、更快和更便宜地实现安全性。现在是时候思考如何应对你网络以及与你业务相关的其他网络中的物联网趋势。部署合适的人员,至少应该从政策更新开始,列出你正在对这些联网设备做什么和没有做什么,允许和不允许什么。政策并不是安全的灵丹妙药。事实上,它们经常会制造安全和“合规”方面的错觉,导致弊大于利。但你应该从政策开始,任何追求更好更安全的物联网的积极行动都将在长期给企业带来回报。 
