影子物聯(lián)網(wǎng)對網(wǎng)絡(luò)安全的危害和預(yù)防手段

如果沒有政策和可見的物聯(lián)網(wǎng)技術(shù)庫存，組織將其網(wǎng)絡(luò)和數(shù)據(jù)置于未經(jīng)授權(quán)訪問固有不安全設(shè)備的風(fēng)險之中。

組織領(lǐng)導(dǎo)者每年都會部署數(shù)百萬臺設(shè)備來構(gòu)建其物聯(lián)網(wǎng)部署，但他們并不是唯一連接到組織網(wǎng)絡(luò)的設(shè)備。員工還在工作場所中部署了數(shù)量驚人的智能設(shè)備，其中許多未經(jīng)許可使用。這種趨勢稱為影子物聯(lián)網(wǎng)，并可能使組織面臨風(fēng)險。

影子物聯(lián)網(wǎng)就像影子IT一樣，由于沒有IT團(tuán)隊和IT安全部門對設(shè)備的可見性，并且無法監(jiān)視或保護(hù)看不見的東西，因此會帶來安全風(fēng)險。

技術(shù)市場咨詢機(jī)構(gòu)ABI Research公司的數(shù)字安全研究主管Michela Menting表示：“它給組織構(gòu)成了嚴(yán)重威脅，因為它提供了一種可以很容易地檢測到惡意流量的載體?！?/p>

對于未經(jīng)批準(zhǔn)的技術(shù)的使用對于IT和安全主管來說已經(jīng)不是什么新鮮事了，他們數(shù)十年來一直與影子IT作斗爭。專家將影子IT定義為未經(jīng)技術(shù)部門授權(quán)或批準(zhǔn)，也未經(jīng)安全團(tuán)隊審查的硬件和軟件的實現(xiàn)和使用。

影子物聯(lián)網(wǎng)擴(kuò)展了IT和安全領(lǐng)導(dǎo)者面臨的挑戰(zhàn)。他們必須在對技術(shù)的支持之間取得平衡，該技術(shù)使工人的工作更輕松，并且可以防御網(wǎng)絡(luò)安全威脅。

全球網(wǎng)絡(luò)安全組織Kudelski Security公司首席執(zhí)行官Andrew Howard說，“對于個人來說，在不知情或未經(jīng)批準(zhǔn)的情況下，將互聯(lián)網(wǎng)連接設(shè)備或設(shè)備網(wǎng)絡(luò)添加到公司網(wǎng)絡(luò)中通常是相當(dāng)容易的。通常，用戶添加這些設(shè)備是為了個人方便或幫助他們完成工作，而不知道它們可能會給企業(yè)環(huán)境增加風(fēng)險。通常情況下，用戶在添加這些設(shè)備是出于個人方便或幫助他們完成工作，而不了解他們是這些設(shè)備中的絕大多數(shù)都不是設(shè)計安全的?！?/p>

在IT自動化和安全廠商Infoblox公司發(fā)布的名為《潛伏在網(wǎng)絡(luò)上的是什么：暴露影子設(shè)備的威脅》的報告中，最常見的影子物聯(lián)網(wǎng)設(shè)備類型是健身追蹤器、數(shù)字助理（如亞馬遜的Alexa）、智能電視、智能廚房設(shè)備（如互聯(lián)微波爐）和游戲機(jī)，比如Xbox和PlayStation。

其他影子物聯(lián)網(wǎng)設(shè)備可能包括無線打印機(jī)、無線恒溫器和監(jiān)控攝像頭，而無需IT或安全專業(yè)人員，設(shè)施部門或工作人員便可以輕松安裝它們。

一些組織還發(fā)現(xiàn)員工可以連接智能音箱、連接的燈光和RaspberryPi硬件。Infoblox產(chǎn)品營銷副總裁AnthonyJames表示，RaspberryPi是一款小型單板計算機(jī)，用戶可以對其進(jìn)行配置以執(zhí)行許多任務(wù)。

James補(bǔ)充說：“這更多地歸結(jié)為人們正在連接的個人物品——不需要太多技術(shù)知識的設(shè)備。所有這些設(shè)備都有IP地址，它們已經(jīng)成為許多組織的一大盲點。”

影子物聯(lián)網(wǎng)如何威脅組織

智能手表和連接的設(shè)備看似無害，但專家強(qiáng)調(diào)，影子物聯(lián)網(wǎng)給組織帶來了重大風(fēng)險。最令人擔(dān)憂的是設(shè)備本身經(jīng)常缺乏嵌入式安全性。

Menting說：“由于容量低、計算資源不足或電池有限，許多物聯(lián)網(wǎng)設(shè)備都缺乏基本的安全功能，無論是嵌入式硬件安全還是安全軟件。這意味著它們很容易被顛覆或攔截。”

黑客可以將缺乏嵌入式安全性作為進(jìn)入組織網(wǎng)絡(luò)的入口，在這種情況下，權(quán)限升級使他們更受限制地訪問更敏感的信息。

Menting說，該漏洞和物聯(lián)網(wǎng)設(shè)備數(shù)量的整體增加進(jìn)一步誘使不良行為者為僵尸網(wǎng)絡(luò)和拒絕服務(wù)或分布式拒絕服務(wù)攻擊而入侵或定位設(shè)備。

這不是一個假設(shè)的場景;這樣的攻擊已經(jīng)發(fā)生。在通過互聯(lián)網(wǎng)連接的魚缸訪問北美一家賭場的網(wǎng)絡(luò)后，黑客于2017年竊取了10GB的數(shù)據(jù)。

專家預(yù)計，針對物聯(lián)網(wǎng)的攻擊數(shù)量以及這些攻擊的復(fù)雜性會隨著連接設(shè)備數(shù)量的增加而增加。云安全組織Zscaler公司研究部門Threat LabZ在其有關(guān)企業(yè)物聯(lián)網(wǎng)的2020年報告中，詳細(xì)介紹了影子物聯(lián)網(wǎng)的興起以及攻擊風(fēng)險。到2020年初，受阻止的惡意軟件嘗試次數(shù)為每月14，000次，高于2019年5月的2，000件基于物聯(lián)網(wǎng)的惡意軟件，而不到一年的時間增加了7倍。

防范影子物聯(lián)網(wǎng)的威脅

對于影子物聯(lián)網(wǎng)或針對連接設(shè)備的黑客來說，IT和安全領(lǐng)導(dǎo)者并非無能為力。專家建議組織通過未遵循的人員、流程和技術(shù)政策來控制未經(jīng)批準(zhǔn)的設(shè)備帶來的風(fēng)險。

Howard說：“可見性是預(yù)防或補(bǔ)救影子物聯(lián)網(wǎng)問題的第一步。組織必須了解什么設(shè)備已連接到其網(wǎng)絡(luò)，然后才能有效應(yīng)對挑戰(zhàn)?！?/p>

企業(yè)IT和安全主管必須確定應(yīng)使用哪些策略來管理連接到組織網(wǎng)絡(luò)的設(shè)備。他們還應(yīng)使用IP地址管理工具等技術(shù)來創(chuàng)建連接到網(wǎng)絡(luò)的設(shè)備清單。然后，他們可以使用自動化和威脅情報來執(zhí)行策略并防御黑客。

組織必須從一開始就建立安全性和有效的管理。Howard表示，市場上有以物聯(lián)網(wǎng)為重點的工具，它們可以提供可視性，并提供有關(guān)特定物聯(lián)網(wǎng)設(shè)備帶來的風(fēng)險的場景。

組織可以開發(fā)和應(yīng)用基于策略的方法來隔離或阻止試圖連接到公司網(wǎng)絡(luò)的未知IT和物聯(lián)網(wǎng)設(shè)備。這樣，許多組織可以批準(zhǔn)未知的設(shè)備連接，但只能批準(zhǔn)到專門針對無法訪問組織資源的不受信任設(shè)備的網(wǎng)段。
責(zé)編AJX