物聯(lián)網(wǎng)時代 你是否需要新安全策略?

發(fā)布時間：2024-07-30

物聯(lián)網(wǎng)時代已經(jīng)來臨，你的安全計劃部署到位了嗎?如果還沒有，現(xiàn)在是時候開始進行規(guī)劃了。
物聯(lián)網(wǎng)不僅僅是關于汽車、鐘表和咖啡機，而是全新前沿的聯(lián)網(wǎng)設備，這些設備直接和間接地影響著企業(yè)安全。最近企業(yè)的討論焦點一直圍繞在一般企業(yè)網(wǎng)絡是否能夠處理物聯(lián)網(wǎng)的帶寬要求，這是值得思考的問題，但相較而言，不可避免的安全問題似乎來得更為重要。
企業(yè)一直在艱難地保持其傳統(tǒng)網(wǎng)絡系統(tǒng)的安全性，很多人不知道其系統(tǒng)的位置，特別是敏感數(shù)據(jù)的位置。還有一些人則不清楚其當前安全狀態(tài)或者在特定時間網(wǎng)絡在發(fā)生什么。毫無疑問，由it和安全人員組成的最大群體難以讓管理層和普通用戶群保持安全性。對于保護物聯(lián)網(wǎng)安全，這些問題變得更具挑戰(zhàn)性，我預計我們將遇到前所未有的安全問題。
從我進入信息安全行業(yè)以來，我一直信奉這樣一個準則，如果系統(tǒng)有ip地址或者url，并且它以任何方式接觸業(yè)務網(wǎng)絡或處理敏感信息的話，那么它就可能成為攻擊目標。而且它也應該屬于現(xiàn)有安全管理計劃的范圍內(nèi)。移動設備、即時通訊、社交媒體等同樣是如此，我們無法阻止物聯(lián)網(wǎng)的發(fā)展，它應該成為你的安全討論的前沿和中心。
最小化信息風險的核心原則之一是制定出一套規(guī)則，并遵守這些規(guī)則，即精心編寫的安全策略。如果沒有設置適當?shù)钠谕担蜁芑靵y，就像我們在攜帶自己設備到工作場所(byod)趨勢中所看到的那樣。好消息是，保護物聯(lián)網(wǎng)安全或者保護你的企業(yè)免受它的影響，與保護網(wǎng)絡的任何其他方面沒有太大的不同。這是關于角度和重點的問題。對于企業(yè)中的物聯(lián)網(wǎng)，下面是你必須考慮的以安全策略為中心的問題：
你現(xiàn)有的安全策略將發(fā)揮怎樣的作用?你不必從頭開始。圍繞密碼、漏洞修復和系統(tǒng)監(jiān)控的現(xiàn)有政策可能就夠了。最重要的是確保物聯(lián)網(wǎng)在每個政策的范圍之內(nèi)。
是否需要新的安全策略?你可能會發(fā)現(xiàn)你需要圍繞網(wǎng)絡分段和訪問控制的新的(或更新的)政策，以確保這些設備的安全性，類似于你處理無線接入點和訪客互聯(lián)網(wǎng)連接的方式。對此，一定要考慮物聯(lián)網(wǎng)對業(yè)務合作伙伴、供應商和客戶的影響，畢竟他們都有著到你環(huán)境的網(wǎng)絡連接。另外，員工在家里的每個物聯(lián)網(wǎng)設備會通過vpn給企業(yè)網(wǎng)絡帶來什么額外的風險呢?
誰來確保你的政策是可執(zhí)行的，并且實際得到執(zhí)行來最小化你的物聯(lián)網(wǎng)風險呢?管理層和用戶可能會對圍繞核心業(yè)務應用的政策買賬，但他們?nèi)绾稳ダ斫鈱此茻o害且跟業(yè)務沒什么關聯(lián)的設備的保護呢?你需要能夠量化這種風險，通過執(zhí)行風險風險分析和確定威脅利用物聯(lián)網(wǎng)漏洞的可能性，以及這些威脅帶來的潛在影響。良好的byod安全計劃不僅能夠表明即將來到的事物;它必須為你的物聯(lián)網(wǎng)政策執(zhí)行奠定基礎。
誰來監(jiān)控物聯(lián)網(wǎng)?在不久的將來的某個時候，你可能會考慮增加網(wǎng)絡中主機的數(shù)量。你是否需要額外的人手來確保一切正常進行?你的托管安全服務提供商能否容納這些系統(tǒng)?
我通常不會相信與新興it領域相關的營銷炒作，例如云計算和大數(shù)據(jù)，但對于物聯(lián)網(wǎng)并不是這樣。該術語有些炒作成分，但其給企業(yè)帶來的影響是真的。據(jù)思科估計，到2020年物聯(lián)網(wǎng)將會增長到500億設備，這是相當大的數(shù)據(jù)，在某種程度上需要引起你的關注。這些設備可能會打開進入你網(wǎng)絡的后門，它們可能會推動惡意軟件的傳播，它們還可能存儲敏感商業(yè)信息，它們可能導致拒絕服務攻擊的情況。你的企業(yè)做好準備了嗎?你是否能夠從你目前正在做的工作中調(diào)出時間來應對這個正在入侵你網(wǎng)絡的新的趨勢?
復雜性是實現(xiàn)有效安全性的最大障礙之一，而物聯(lián)網(wǎng)安全問題無疑將成倍地加重這種復雜性，無論是在大型企業(yè)還是小型企業(yè)。你將需要比以往任何時候更好、更快和更便宜地實現(xiàn)安全性。現(xiàn)在是時候思考如何應對你網(wǎng)絡以及與你業(yè)務相關的其他網(wǎng)絡中的物聯(lián)網(wǎng)趨勢。部署合適的人員，至少應該從政策更新開始，列出你正在對這些聯(lián)網(wǎng)設備做什么和沒有做什么，允許和不允許什么。政策并不是安全的靈丹妙藥。事實上，它們經(jīng)常會制造安全和“合規(guī)”方面的錯覺，導致弊大于利。但你應該從政策開始，任何追求更好更安全的物聯(lián)網(wǎng)的積極行動都將在長期給企業(yè)帶來回報。