在管理“影子物聯(lián)網”的風險方面，企業(yè)、制造商和立法者需要發(fā)揮各自的作用。

研究表明，在今年秋季，可能只有三分之一的員工返回辦公室工作，而在可預見的未來，將有大量的員工繼續(xù)在家遠程工作。這種變化要求企業(yè)引入大量新的政策和程序來適應，尤其是在企業(yè)安全領域。

多年來，業(yè)內人士預測物聯(lián)網設備的數(shù)量將會激增。軟銀集團首席運營官Marcelo Claure在2018年表示，到2025年，地球上的每個人將平均擁有100臺物聯(lián)網設備。更重要的是，在未來三年內，企業(yè)的物聯(lián)網支出將增加96%。

隨著發(fā)生的疫情促使在家遠程工作的員工購買更多的辦公設備，對物聯(lián)網設備的需求也在加快。然而，從WiFi路由器、無線mesh網絡到智能音箱以及以健康為重點的可穿戴設備，這種新的物聯(lián)網購買浪潮可能會破壞業(yè)務的安全性，因為業(yè)務環(huán)境本身就是員工的家庭。

企業(yè)的物聯(lián)網設備的安全性如何？

員工在家工作而購買的大多數(shù)物聯(lián)網設備相對成本低廉，由于是面向普通消費者，通常在硬件或軟件層面很少對其進行安全保護。

此外，企業(yè)IT團隊無法了解員工擁有的設備或他們已采取（或未采取）的安全措施。由于15%的物聯(lián)網設備所有者仍然使用默認密碼，很多員工使用易受攻擊的設備。

而且，當這些設備駐留在同一個網絡上，而其網絡正被企業(yè)員工用于電子郵件、文件共享和訪問受保護的數(shù)據(jù)時，出現(xiàn)的安全漏洞將成為威脅業(yè)務的一個主要問題。惡意攻擊者可以訪問更多與物聯(lián)網設備相關的攻擊面，包括硬件、網絡、API和接口。

由于在短期內沒有跡象表明企業(yè)全面復工復產，政府、制造商、IT安全團隊和員工都需要在減輕這些風險方面發(fā)揮作用。

企業(yè)IT的物聯(lián)網安全

好消息是，物聯(lián)網設備的安全原則與一般應用于其他設備和數(shù)據(jù)的原則相似。

鑒于這些設備不在IT和運營團隊的管理范圍內，因此它們必須安裝可以提供端點保護和監(jiān)視邊緣設備的安全工具，而盡早進行入侵防御和檢測仍然是避免遭到破壞的優(yōu)秀方法。

加密和其他安全應用程序應該在企業(yè)IT設備上進行評估，而其IT設備與消費者物聯(lián)網設備將部署在同一網絡上。它們是第一道防線，需要提供安全的措施，如上所述，這些設備經常不作為標準設備提供。

企業(yè)應針對上述攻擊面評估其漏洞，并采取相應的措施，例如對企業(yè)網絡上的設備實施更嚴格的實時身份驗證過程。

員工教育和基本網絡安全培訓和意識在降低風險方面也發(fā)揮著重要作用。例如，將物聯(lián)網設備連接到單獨的網絡會使網絡攻擊更加困難，因此要求員工在網絡級別將工作和消費設備分開將會產生重大影響。

而提高加密意識也是另一個員工必須做到的事情，至少可以要求員工檢查并重置物聯(lián)網設備上的默認密碼。

制造商必須采取措施保護設備

物聯(lián)網設備制造商本身也需要采取長期安全措施。即使其產品不受其所在市場中保護物聯(lián)網設備安全的法律要求也要如此。

即使違規(guī)行為是無意的，物聯(lián)網設備制造商也可能面臨巨大的聲譽損失、知識產權受損、消費者信任喪失，以及設計不良的結果。

設備級身份管理是保證物聯(lián)網安全的關鍵。泄露密碼是獲得未經授權訪問設備的最簡單和最常見的方式，這就是立法通常針對這一領域的原因。

良好的憑據(jù)管理看起來像是出廠時設置的唯一防篡改硬件標識符，具有唯一的復雜密碼和安全的密碼重置過程。存儲的每個密碼還應使用行業(yè)標準的哈希函數(shù)和唯一的Salt值。如果可能的話，還需要使用雙因素身份驗證方法。

外部網絡連接的數(shù)量應保持在設備運行所需的最小數(shù)量，以便限制和控制接入點。這也適用于物理接入點，制造商用于測試或調試設備的所有接口和端口都應移除。

許多物聯(lián)網設備制造商已經開始認真對待這一問題，但對于那些沒有認真對待的制造商來說，這個問題最終會受到監(jiān)管機構的處罰。

各國政府必須制定基本的物聯(lián)網安全標準

員工分布在多個國家和地區(qū)的企業(yè)通常會面臨物聯(lián)網設備安全的零散和混亂的國際監(jiān)管框架的情況。

英國近年來在監(jiān)管方面加大了力度。兩年前，英國推出了消費者物聯(lián)網安全的設計確保安全的實施規(guī)程。這個規(guī)程主要針對制造商，尋求建立常識性的安全標準，包括唯一的默認設備密碼、安全更新的最短時間線，以及公開暴露漏洞的聯(lián)絡點。但是，法律上沒有要求制造商遵守這些準則。

直到2020年1月，英國政府將這些準則編纂為法律，將迫使在英國銷售物聯(lián)網設備的制造商遵循這些準則。這是朝保護消費者（進而擴展為企業(yè)）邁出的重要一步，它消除了保護設備安全的責任，并將其交還給制造商。

不幸的是，美國政府沒有這樣做。盡管美國聯(lián)邦調查局警告說，物聯(lián)網設備作為網關到同一網絡上的筆記本電腦等主要設備存在風險，但美國仍沒有制定相應的法規(guī)。

2018年，加利福尼亞州成為美國第一個根據(jù)SB-327規(guī)范物聯(lián)網設備的州，要求采取與上述英國法律相同的許多措施。其法規(guī)于2020年1月生效。但是對于在美國大部分地區(qū)開展業(yè)務的企業(yè)而言，物聯(lián)網風險似乎是不可避免的。

物聯(lián)網安全是集體責任

由于生態(tài)系統(tǒng)仍處于初級階段，因此沒有一種靈丹妙藥來確保物聯(lián)網設備的安全。而制造商、立法者、企業(yè)和員工都有責任來管理和監(jiān)控物聯(lián)網的風險。

但是，通過采取其中一些措施，企業(yè)可以加強網絡安全性，并且不受消費者物聯(lián)網的威脅。這樣他們就可以利用更多增加財富的機會。
責編AJX