由于組織擔心網絡上連接設備的激增，私營和公共部門應該齊心協力解決物聯網漏洞。

物聯網使人們生活的方方面面都在連接到網張。電話、手表、打印機、恒溫器、燈泡、照相機和冰箱只是連接家庭和企業網絡的少數設備。這該產品網絡似乎旨在使日常工作更加方便；不幸的是，它們的安全性薄弱使網絡攻擊者容易進入。

Thycotic公司首席安全科學家Joseph Carson說：“物聯網仍然是網絡上的計算機，但與眾不同。”與傳統的電腦不同，物聯網設備的功能非常具體。此外，它們的設計價格便宜且易于部署。隨著越來越多的員工將設備帶入工作場所并將其連接到Wi-Fi，保護設備的挑戰不斷升級。

Rapid7公司物聯網研究負責人Deral Heiland補充說，過去從未連接到全球互聯網的企業設備現在已成為物聯網的一部分。他指出了多功能打印機，他說這長期以來一直是企業的安全隱患。現代打印機可以控制多種功能，通過全球互聯網發送數據或通過云平臺進行遠程打印。

他說：“我在許多組織中遇到的一件大事是，‘物聯網到底是什么？‘十年前不在物聯網上的東西現在已經演變成物聯網設備。因此，許多企業不了解將它們置于風險之中的設備的全部范圍。”

路由器、打印機和IP攝像頭是企業物聯網安全中討論最廣泛的設備之一。網絡犯罪分子正在研究物聯網攻擊面，弄清楚哪些有效，哪些無效，以及他們如何從連接的設備中獲利。趨勢科技公司最近發布的一份報告揭示了網絡攻擊者如何從物聯網中獲利：許多人出售對內置在僵尸網絡中的被入侵物聯網設備的訪問權；其他人則勒索聯網工業設備的所有者。

特別是，安全專家指出Mirai僵尸網絡是互聯設備安全的轉折點。趨勢科技公司全球威脅通信總監JonClay說，未來的Mirai及其變種似乎似乎是最大的。僵尸網絡在地下針對這種類型的惡意軟件激發了創造力：它是開源且免費的，因此網絡攻擊者很容易利用。

他說：“網絡攻擊面正在逐步增加，并且有太多新設備上線。”犯罪分子的注意力從勒索軟件或銷售惡意軟件發展到專門針對連接設備的物聯網，從而使他們對物聯網的關注范圍縮小。

物聯網威脅的危險加劇了攻擊者的崛起，他們正在大規模地瞄準固件或利用DDoS攻擊中的連接設備。他們也不必為了產生深遠的影響而攻擊主要實體。

Heiland說，組織對物聯網安全的態度類似于幾年前對智能手機的態度。現在，他們還處于改進業務模型和整合流程以保持安全的初期階段。同時，出現了標準和法規，以告知制造商如何從一開始就在這些設備中內置安全性。

企業和制造商的不足之處

設備安全性差和攻擊者的濃厚興趣共同驅使企業更加關注物聯網。Data Tribe公司首席執行官Mike Janke說：“他們所負責的攻擊面已經變得如此之大。”有人使用“影子物聯網”一詞來指代出現在網絡上的智能手表、耳機和平板電腦。

Janke說：“這是一個巨大的痛苦，因為首席信息安全官］最終要負責。”他指出，大多數企業沒有預算、人員或資源來解決問題。這非常令人沮喪。

Clay補充說，許多公司繼續與補丁管理工作作斗爭，這增加了挑戰，因為物聯網設備制造商通常要求用戶應用更新。他解釋說：“這些設備中有很多不是傳統的電腦。即使他們內部裝有操作系統和應用程序，也不會像在組織中那樣將它們視為服務器或電腦。”

Carson建議企業將物聯網設備允許在企業網絡中使用之前先考慮它們的功能。它是數據采集器還是聚合器？是否可以通過設備訪問網絡的其余部分？它會帶來新的威脅嗎？誰擁有設備；可以查看或下載數據嗎？他建議需要使用安全的設備才能訪問企業網絡。
責任編輯:tzh