物聯(lián)網(wǎng)安全：讓用戶對安全隱患保持警惕

　　如今，物聯(lián)網(wǎng)的應(yīng)用越來越廣泛，但也引入了可能使企業(yè)的網(wǎng)絡(luò)面臨風(fēng)險的新漏洞。而為用戶提供持續(xù)的安全培訓(xùn)，以及與其工作相關(guān)的示例，將有助于保護(hù)企業(yè)數(shù)據(jù)的安全。

　　那些費用高昂的防火墻和數(shù)據(jù)丟失防護(hù)軟件包也無法阻止最終用戶不受到影響。隨著物聯(lián)網(wǎng)(IoT)在企業(yè)的應(yīng)用越來越廣泛，它也增加了可以為安全漏洞開放組織的端點。如果沒有適當(dāng)?shù)叵虬踩块T簡要介紹用戶，其結(jié)果可能是安全策略的一個大漏洞。由于威脅迅速演變和變化，專家建議企業(yè)定期與最終用戶進(jìn)行核對。

　　不知不覺的最終用戶甚至沒有意識到這種風(fēng)險。據(jù)Mosaic 451創(chuàng)始人兼管理合伙人Mike Baker介紹，員工是安全最大的風(fēng)險。他說，大多數(shù)最大的數(shù)據(jù)泄露事件，網(wǎng)絡(luò)釣魚詐騙和勒索軟件的問題源于黑客成功利用終端用戶獲取系統(tǒng)的機(jī)會。

　　“智能手機(jī)和平板電腦等移動設(shè)備的擴(kuò)散也使得人為因素更加脆弱，因為這個安全領(lǐng)域常常被忽視。”他補(bǔ)充說，企業(yè)的員工需要對信息安全實踐進(jìn)行培訓(xùn)，而且這種培訓(xùn)需要持續(xù)進(jìn)行。

　　規(guī)定員工的期望并相應(yīng)地進(jìn)行培訓(xùn)

　　ID Agent公司首席執(zhí)行官Kevin Lancaster表示，從員工入職的第一天起，企業(yè)就需要為員工設(shè)定有關(guān)物聯(lián)網(wǎng)安全的期望。此外，這需要一個員工可以聯(lián)系和理解的框架。

　　Lancaster說：“廣泛使用的，通用的，一刀切的安全意識培訓(xùn)令人失望。員工往往會很容易通過多種選擇題的培訓(xùn)考核。他們真正需要的是使用具體的例子將培訓(xùn)與組織中的具體職位聯(lián)系起來。”

　　Lancaster說：“通過實施定制的，特定位置的，以及定期的安全意識培訓(xùn)，團(tuán)隊中的每個人都可以幫助確保業(yè)務(wù)保持安全，避免安全漏洞帶來的痛苦和代價高昂的損失。”

　　“例如，就像家用車庫開門設(shè)備這樣無害的東西可能使組織變得脆弱。如果駕駛者使用基于網(wǎng)絡(luò)的平臺在汽車靠近房屋時打開車庫門，并將警報發(fā)送到工作電子郵件帳戶，并且密碼與網(wǎng)絡(luò)密碼具有相同的權(quán)限，則員工剛剛開放了黑客攻擊漏洞。”Lancaster特解釋說。

　　強(qiáng)調(diào)密碼的重要性

　　對信息安全專家來說，創(chuàng)建一個強(qiáng)大的密碼似乎是顯而易見的，但最終用戶對密碼的“強(qiáng)大”的定義可能會有所不同。他們也可能希望選擇容易記住的密碼，所以他們不必要求重置。而這可以為黑客開放了一個違規(guī)和攻擊組織的安全漏洞。

　　SolarWinds公司首席執(zhí)行官Destiny Bertucci說：“希望加強(qiáng)安全政策的企業(yè)應(yīng)鼓勵員工使用更好的密碼實踐。”她建議使用密碼生成器和保管庫自行創(chuàng)建密碼并存儲下來，以便最終用戶在忘記密碼時可以訪問密碼。

　　對新的安全隱患保持警惕

　　MicroFocus公司戰(zhàn)略副總裁Geoff Webb表示，讓用戶意識到風(fēng)險只是教育最終用戶的第一步。“將設(shè)備放置在安全性較差的工作場所可能會讓風(fēng)險得到增長，攻擊者將越來越多地看到這一點，這是過去傳統(tǒng)安全控制中的后門。”而個人設(shè)備和商業(yè)設(shè)備之間的界限仍然模糊不清。

　　Webb說，IT部門需要研究用戶引入的設(shè)備，詢問使用的類型和配置方式。同樣重要的是要確保用戶知道要去哪里獲取更多信息和配置，以確保設(shè)備安全和可靠。

　　Webb表示，新的利益相關(guān)方也可能需要需要被納入進(jìn)來。例如，樓宇管理系統(tǒng)可能需要采用智能燈泡來節(jié)省電力，并改善控制。但是，如果組織配置不正確或沒有安全團(tuán)隊的審核，可能會對組織帶來風(fēng)險。

　　最重要的是，終端用戶需要了解當(dāng)個人設(shè)備也是企業(yè)生活的一部分時，物聯(lián)網(wǎng)安全界線會模糊這一事實。“畢竟，如果一個用戶將一個容易受到攻擊的設(shè)備帶入網(wǎng)絡(luò)，他們不僅將為黑客開辟竊取企業(yè)數(shù)據(jù)的渠道，而且還可能是他們自己在家里的個人信息，以及家庭和工作之間的界限模糊不清。Webb表示，這對工作和生活都有影響，現(xiàn)在商業(yè)風(fēng)險成為人們自己日常生活的一部分。”

　　對于IT專業(yè)人士來說，這意味著制定風(fēng)險，與最終用戶保持聯(lián)系，并強(qiáng)調(diào)必須采取適當(dāng)?shù)陌踩胧?。物?lián)網(wǎng)只是變得越來越普遍，終端用戶做好安全工作可能是防范違規(guī)行為的最佳防范措施之一。