随着越来越多的物联网设备和智能硬件涌入企业IT环境,旧的企业网络安全边界消失,企业的IT团队正面临全新的风险。
安全公司Tripwire近日对400多位IT专业人士和300多位CIO进行调查后发现,企业正面临企业网络与物联网“交叉感染”的安全风险;但更糟糕的是,企业管理层对物联网安全的重视程度远远不够。
警惕物联网的“交叉感染”
根据Tripwire的报告,那些SOHO办公的员工的家庭网络中平均有11个物联网设备,包括智能手机、智能路由、打印机、智能电视、智能吸尘器、智能插座等等。
根据安全牛之前的报道,家庭路由器已经成为黑客的重点目标,而与路由器相连的家庭智能设备通常安全性都非常差(参考阅读:AVtest,多数智能家居产品都门户大开)
这意味着员工个人设备的安全威胁将有可能通过BYOD的方式交叉感染,成为企业网络的安全隐患。根据Tripwire的报告,25-50%的远程办公员工和IT人员都在企业网络中接入了至少一个物联网设备。四分之三的受访者从家庭网络访问企业文档。
新的黑客攻击手段使得物联网交叉感染的威胁变得比过去任何时候都可怕,例如今年爆出的影响全球数十亿设备的BadUSB漏洞,理论上任何拥有USB接口的设备都可以成为攻击工具,英国卫报甚至还报道过电子香烟的通过USB充电传播恶意软件。
被管理层忽视的最大安全隐患
Tripwire的物联网安全报告显示,63%的C-level高级管理者表示愿意尝试使用物联网技术提升生产力,但是只有27%的高级管理者关心物联网相关安全问题。当管理层将信息安全风险与其他业务风险进行对比时,安全风险的优先级总是很低。但是企业的信息安全专业人士却不这样认为,根据报告,受访大中型企业的IT人员中,59%认为物联网将成为企业网络中最大的安全风险。
安全公司Duo Security的物联网安全项目经理Mark Stanishlav认为,目前市场上的大量物联网智能硬件产品出自众筹创业项目,这些众筹创业团队对安全几乎一无所知。
与物联网产品极差的安全性相对应,企业对物联网安全威胁显然也为做好准备。根据SANS的物联网安全报告,接近半数的企业信息安全经理并不知道如何建立自己的物联网安全防御体系。这些都为物联网恶意软件的交叉感染提供了绝佳的时间窗口。