公司要注意：物联网设备是网络攻击的门户

物联网为企业提供了前所未有的对其供应链的可见性和控制力。但它也为潜在的严重网络攻击打开了大门。

Ponemon Institute 的一项新研究显示，由不安全的第三方物联网设备引起的数据泄露急剧增加。这表明顶级安全专家在阻止他们方面做得还不够。

该研究所关于第三方物联网风险的第三次年度研究的副标题是“公司不知道他们不知道的事情”。事实上，对网络攻击危险的无知似乎加剧了许多企业的脆弱性。研究发现，自 2017 年以来，与物联网相关的漏洞至少增加了 26%。 （作者指出，这个数字可能更高，因为大多数公司并不知道其场所内所有来自第三方供应商的不安全设备或应用程序。）

在数据泄露变得普遍的时候，网络安全似乎并不是很多公司的首要任务——至少在该领域的资源投资方面。高层管理人员的监督尤其缺乏。根据这项研究，只有不到一半的公司董事会成员批准了旨在降低第三方网络攻击风险的计划。只有 21% 的人完全了解这种风险的性质，并且“高度参与”了解决该风险所需的安全措施。

当谈到预测网络风险时，普遍的态度似乎是一种宿命论。研究发现，87% 的受访者认为，他们自己的组织将在未来 24 个月内遭遇由不安全的物联网设备或应用程序引起的网络攻击。 84% 的受访者预计会在同一时间范围内发生数据泄露。

根据 Ponemon Institute 的联合创始人 Larry Ponemon 的说法，最新版本的研究吸引了 600 名合格的受访者和大约 450 家独特的公司。在他所谓的“折衷但有趣的抽样”中，参与者包括 IT、数据保护、第三方技术和监管方面的专家。

“第三方”是指来自公司自身 IT 之外的所有供应商、承包商、渠道合作伙伴和内部附属机构。共享评估计划高级顾问查理米勒指出，该计划是圣达菲集团旗下专门评估第三方风险的部门。

外部物联网设备通常采用传感器、智能设备、打印机、相机、巢式恒温器、声控个人数字助理的形式——简而言之，任何包含能够连接到公司网络的电子设备。

Ponemon 表示，尽管这些不安全的技术大部分是通过员工的个人设备引入网络的，但管理层并不认为这是一个巨大的风险。米勒补充说，近年来投放市场的物联网设备数量大幅增加，使问题变得更糟。

这些设备中的每一个都有一个唯一的 IP 地址，并代表一个潜在的漏洞点，黑客或网络窃贼可以通过它访问专有数据。在允许将它们中的任何一个引入网络之前，公司需要准确了解这些设备打算做什么、它们打算收集哪些类型的数据以及这些信息将如何传输。

“所有这些都是在这个巨大的物联网领域尚未具体化的基本概念，”米勒说。

面对如此猛烈的攻击，企业为何不更加积极主动地防范这些攻击？ Ponemon 认为问题在于组织内部缺乏问责制。此外，物联网设备使用起来非常方便，所有者很少考虑它们可能会如何危害公司安全。

米勒在安全团队和组织中看到了一些启蒙的迹象。医疗器械制造商等某些行业比其他行业更关注这个问题，主要是因为它们受到严格监管。 （例如，食品和药物管理局“对植入人体的设备制定了严格的规定，”米勒说。）《加利福尼亚消费者隐私法》等新立法正在严厉打击商家将消费者数据用于营销目的。此外，立法者正在针对制造商采取措施，要求基于物联网的设备具有更高级别的内置安全性。 （例如，禁止使用容易破解的默认密码，许多用户忽略更改。）

其他加强网络安全的努力正在由国家标准与技术研究所等组织牵头，其标准在全球范围内被接受，以及该国的中央银行新加坡金融管理局。 Ponemon 研究中包含了后者的五项提高安全性建议中的四项。

“您需要了解您自己的组织内拥有哪些设备，并允许您的第三方使用，”米勒说。 “而且您需要确保设备的连接方式与您的生产部门分开。因此，如果出现漏洞，就会与网络的非生产部分隔离。”

Ponemon 表示，教育至关重要，并强调网络风险意识必须从每个员工到高管层，以及外部供应链合作伙伴和客户。

米勒说，公司应该在承诺使用任何物联网设备之前先进行用例，以确定滥用的可能性。例如，现代汽车中的监控系统可以让黑客远程控制车辆。 “运输行业正在非常认真地看待这个问题，”他说。

最后，归结为用户的警惕性。 “网络卫生是个人的责任，”Ponemon 说。 “这很关键。这不仅仅是关于物联网——它是关于一切的。”