图片来源:https://pixabay.com/images/id-5096394/
互联网系统正在帮助组织从办公室转变为家庭工作。对许多人来说,这种转变不是出于选择,而是不可避免的。然而,这些互联网系统和物联网(IoT)如果智能设备得不到适当的考虑和管理,可能会对安全产生深远的影响。
漏洞正在扩大,安全措施必须到位
远程工作的转变意味着办公室提供的强大安全性发生了变化。随着我们所有远程工作场所(家庭)和使用的各种设备(物联网和智能设备)和服务的增加,易受攻击的范围扩大了。黑客正在利用这一变化带来的漏洞,该组织以前没有注意到的方式暴露漏洞。
从家用电器到互联网汽车,我们家里安装了各种物联网设备,这并不少见。人们使用健康和医疗设备、环境控制、游戏和媒体设备、摄像头和安全系统,而黑客则使用这些不断增加的载体进行攻击。
此外,在大多数情况下,安全协议仍然局限于办公室,员工在不了解安全威胁的情况下使用技术、设备和服务。许多技术和服务没有准备好大规模使用这种转变和服务,许多技术和服务缺乏必要的安全性来保护用户及其组织。
特别值得注意的是,随着许多设备的连接和自动通信,包括更新、监控、管理和保护在内的工作仍然是事后才想到的,或者完全被忽视。
为了改善我们的安全状况,组织需要采取积极的安全防护措施。
物联网设备缺乏安全性
物联网潜力巨大,但在大多数情况下,它缺乏必要的安全措施,这可能会影响组织的安全。物联网设备是黑客窃取有价值信息的绝佳方式。
由于物联网设备已成为主流,不注重安全,组织需要优先考虑物联网设备的可见性。由于这些设备的功能是提供可访问性和连接性,不安全的物联网设备可能会损害组织的整个 *** 。此外,如果远程员工的设备连接到公司 *** ,公司可能很容易受到攻击。
此外,并非所有员工都精通技术,这意味着安全不是他们工作的重点。他们不会更改默认密码或意识到威胁和风险,因此员工本身往往是更大的安全漏洞。
物联网安全风险
物联网设备缺乏安全指导,难以保护。对于制造商来说,特别是在开发的早期阶段,设备的安全并不是首要考虑的问题。许多设备在推出时使用默认密码,用户没有更改。这导致了安全问题,而且有许多设备(“定时炸弹”)留在家里,向黑客开放。由于许多设备天生不安全,它们需要手动更新。然而,在大多数情况下,用户不会安全更新这些设备。由于缺乏物联网教育和安全指导,这个问题仍然存在。
物联网通过远程工作给组织带来的风险必须进行评估。组织需要评估每个物联网设备对数据机密性、完整性和可用性的风险。公司应采取适当的控制措施,确保接入点的安全。
保护措施
培训
确保员工了解物联网设备给公司、其 *** 和数据带来的风险和漏洞。培训员工的数据安全和重要性。培训家庭 *** 风险,确保所有设备和服务(包括儿童设备和服务)不使组织面临与安全相关的问题。
远程工作人员的责任
对于组织来说,有效管理员工家庭的安全具有挑战性。因此,对于物联网,远程员工应承担一定程度的责任,以改善其家庭 *** 的安全状况。每个人都应该发挥作用,以确保足够的安全。
本质上,在家里,员工需要在一定程度上承担物联网系统IT技术人员和评估员的角色。这与培训密不可分。因此,有必要对员工进行各方面的培训,包括改变设备和路由器默认密码的重要性,如使用多因素身份验证(MFA),以及密码使用和管理的更佳实践。告诉他们采取措施,比如在公司通话期间关闭智能扬声器,将家庭 *** 分段,将物联网设备与公司资产分开,都是朝着正确方向迈出的一步。此外,警惕未遂攻击,包括 *** 钓鱼未遂、物联网攻击、物联网安全威胁和风险。
监控服务
远程用户需要使用远程监控软件。这似乎是一些人最常用的 *** ,但对于远程工作来说,这是一种渐进的安全措施。该服务可以主动监控行为并发现任何异常情况。通过数据收集和分析,每个用户都可以配置文件识别“正常行为”,并且可以检测到任何异常行为并采取措施。此外,在访问或复制特定数据时可以设置报警。这是防止数据丢失的有效措施。
身份和访问管理控制
物联网设备的可见性对设备的可见性非常重要。如果处理得当,将实现强大的身份和访问管理控制,并监控流经物联网系统的敏感数据。
避免自动信任设备
作为提高物联网设备可见性的一部分,默认情况下,不得信任连接到组织 *** 的设备。信任决策应基于设备的连接位置、目的或功能。应继续评估设备的价值及其潜在风险,并根据其要求做出决定。
管理权限
虽然工作人员是远程的,但是可以通过管理权限来适当地管理对数据的访问。确定谁需要访问哪些数据,并根据需要限制访问。切记要考虑更低权限规则,不要允许超出工作职能所需的访问权限。一种更合理的 *** 是在适当时候根据请求允许访问,而不是默认情况下允许所有员工拥有完全访问权限。
物联网设备的家庭 *** 策略
对于组织来说,禁止远程员工在家庭 *** 上使用物联网设备可能是不合适的。但由于物联网设备在员工家中使用,在远程/家庭员工的政策中强调物联网设备在访问组织 *** 之前必须满足的安全要求是有益的。这方面的培训非常重要。除了纳入政策外,还必须对员工进行这方面的培训,让他们意识到自己在这方面的责任。在督促员工遵守这一政策的同时,公司还应相应调整 *** 。因此,组织需要确保必要的物联网设备和安全意识培训。
加密
为远程员工提供加密 *** 是引入额外安全层的有效 *** 。请记住,分层防御通常可以提高安全性。每层都有自己独特的控制,共同提供稳定的安全解决方案。由于所有的连接和通信都是加密的,因此使用虚拟专用 *** 可以在访问时保护 *** 。因此,无论员工家中的物联网连接如何,虚拟专用 *** 都可以通过加密提供高安全水平。
主动安全 ***
远程工作扩展了物联网生态系统。黑客利用家庭设置的弱认证来锁定 *** 和有价值的数据,并利用我们家庭中的物联网设备作为获取组织资产访问权的跳板。这导致了组织的攻击范围。物联网设备很有可能受到攻击。从这个角度来看,恶意软件可能会从设备转移到员工的终端设备,并在组织内横向传播。如果这个漏洞不能有效地管理,后果可能是灾难性的。
由于远程员工访问他们的家庭 *** ,许多物联网设备可能集成在那里,组织必须从不同的角度考虑安全,以了解物联网设备如何影响组织。因此,组织必须优先考虑确保远程员工有效保护 *** 的 *** 。iothome)