物聯(lián)網時代已經來臨,你的安全計劃部署到位了嗎?如果還沒有,現在是時候開始進行規(guī)劃了。物聯(lián)網不僅僅是關于汽車、鐘表和咖啡機,而是全新前沿的聯(lián)網設備,這些設備直接和間接地影響著企業(yè)安全。最近企業(yè)的討論焦點一直圍繞在一般企業(yè)網絡是否能夠處理物聯(lián)網的帶寬要求,這是值得思考的問題,但相較而言,不可避免的安全問題似乎來得更為重要。
企業(yè)一直在艱難地保持其傳統(tǒng)網絡系統(tǒng)的安全性,很多人不知道其系統(tǒng)的位置,特別是敏感數據的位置。還有一些人則不清楚其當前安全狀態(tài)或者在特定時間網絡在發(fā)生什么。毫無疑問,由IT和安全人員組成的最大群體難以讓管理層和普通用戶群保持安全性。對于保護物聯(lián)網安全,這些問題變得更具挑戰(zhàn)性,我預計我們將遇到前所未有的安全問題。
從我進入信息安全行業(yè)以來,我一直信奉這樣一個準則,如果系統(tǒng)有IP地址或者URL,并且它以任何方式接觸業(yè)務網絡或處理敏感信息的話,那么它就可能成為攻擊目標。而且它也應該屬于現有安全管理計劃的范圍內。移動設備、即時通訊、社交媒體等同樣是如此,我們無法阻止物聯(lián)網的發(fā)展,它應該成為你的安全討論的前沿和中心。
遵守游戲規(guī)則
最小化信息風險的核心原則之一是制定出一套規(guī)則,并遵守這些規(guī)則,即精心編寫的安全策略。如果沒有設置適當的期望值,就會很混亂,就像我們在攜帶自己設備到工作場所(BYOD)趨勢中所看到的那樣。好消息是,保護物聯(lián)網安全或者保護你的企業(yè)免受它的影響,與保護網絡的任何其他方面沒有太大的不同。這是關于角度和重點的問題。對于企業(yè)中的物聯(lián)網,下面是你必須考慮的以安全策略為中心的問題:
你現有的安全策略將發(fā)揮怎樣的作用?你不必從頭開始。圍繞密碼、漏洞修復和系統(tǒng)監(jiān)控的現有政策可能就夠了。最重要的是確保物聯(lián)網在每個政策的范圍之內。
是否需要新的安全策略?你可能會發(fā)現你需要圍繞網絡分段和訪問控制的新的(或更新的)政策,以確保這些設備的安全性,類似于你處理無線接入點和訪客互聯(lián)網連接的方式。對此,一定要考慮物聯(lián)網對業(yè)務合作伙伴、供應商和客戶的影響,畢竟他們都有著到你環(huán)境的網絡連接。另外,員工在家里的每個物聯(lián)網設備會通過VPN給企業(yè)網絡帶來什么額外的風險呢?
誰來確保你的政策是可執(zhí)行的,并且實際得到執(zhí)行來最小化你的物聯(lián)網風險呢?管理層和用戶可能會對圍繞核心業(yè)務應用的政策買賬,但他們如何去理解對看似無害且跟業(yè)務沒什么關聯(lián)的設備的保護呢?你需要能夠量化這種風險,通過執(zhí)行風險風險分析和確定威脅利用物聯(lián)網漏洞的可能性,以及這些威脅帶來的潛在影響。良好的BYOD安全計劃不僅能夠表明即將來到的事物;它必須為你的物聯(lián)網政策執(zhí)行奠定基礎。
誰來監(jiān)控物聯(lián)網?在不久的將來的某個時候,你可能會考慮增加網絡中主機的數量。你是否需要額外的人手來確保一切正常進行?你的托管安全服務提供商能否容納這些系統(tǒng)?
我通常不會相信與新興IT領域相關的營銷炒作,例如云計算和大數據,但對于物聯(lián)網并不是這樣。該術語有些炒作成分,但其給企業(yè)帶來的影響是真的。據思科估計,到2020年物聯(lián)網將會增長到500億設備,這是相當大的數據,在某種程度上需要引起你的關注。這些設備可能會打開進入你網絡的后門,它們可能會推動惡意軟件的傳播,它們還可能存儲敏感商業(yè)信息,它們可能導致拒絕服務攻擊的情況。你的企業(yè)做好準備了嗎?你是否能夠從你目前正在做的工作中調出時間來應對這個正在入侵你網絡的新的趨勢?
復雜性是實現有效安全性的最大障礙之一,而物聯(lián)網安全問題無疑將成倍地加重這種復雜性,無論是在大型企業(yè)還是小型企業(yè)。你將需要比以往任何時候更好、更快和更便宜地實現安全性,F在是時候思考如何應對你網絡以及與你業(yè)務相關的其他網絡中的物聯(lián)網趨勢。部署合適的人員,至少應該從政策更新開始,列出你正在對這些聯(lián)網設備做什么和沒有做什么,允許和不允許什么。政策并不是安全的靈丹妙藥。事實上,它們經常會制造安全和“合規(guī)”方面的錯覺,導致弊大于利。但你應該從政策開始,任何追求更好更安全的物聯(lián)網的積極行動都將在長期給企業(yè)帶來回報。