图片来源:https://pixabay.com/images/id-3960205/
来源:物联之家(iothome.com)
物联网(IOT)包括越来越多的连网装置,从安全摄像头到智慧恒温器。许多企业使用企业级物联网装置来帮助员工更高效地完成工作,或帮助满足设施管理需求。但是,企业物联网还有一个不足之处——身份管理。
身份管理也称为身份和访问管理(IAM),它确保正确的人能够访问完成工作所需的系统和资讯。但是,物联网的一个普遍问题是,许多相关技术的构建都没有考虑到身份管理。
凭证滥用已成问题
当人们试图通过绕过现有访问控制系统来访问或成功访问系统时,就会发生凭据滥用。有时候,当人们无意中做了一些事情来帮助同事时,就会发生这种情况,比如与同事共享密码以避免在等待IT部门给他们密码时出现工作延误。
但是,在其他情况下,恶意意图是驱动因素,人们利用身份管理的不足来获取不应该拥有的访问许可权。最近释出的BeyondTrust全球调查发现,64%的受访者认为,由于员工滥用访问许可权,他们有过直接或间接的违规行为。
然后,为了将此讨论带到物联网,我们必须认识到许多物联网装置并不具备企业级所需的强大密码管理。据ABI Research公司的一份报告显示,到2022年,与身份管理相关的物联网装置收入可能达到215亿美元。
某些物联网装置具有预设密码
身份管理和物联网装置的一个已知问题是,其中一些装置带有预设密码,使用者应该更改这些密码,但他们从来不会更改。Positive Technologies的调查结果显示,大约15%的装置密码从未更改过预设值。
此外,当人们使用惯用的使用者名称/密码组合时,也会出现问题。更具体地说,Positive Technologies的研究表明,使用五个最受欢迎的这种组合可以访问十分之一的装置。
值得肯定的是,使用预设密码将很快成为过去。加州立法者通过了一项法律,该法律将于2020年1月1日生效,要求所有连网装置在加州销售或生产时必须带有唯一的密码。
这是朝着正确方向迈出的一步,特别是考虑到大多数公司可能不会仅为加州建立一些装置。但是,如果企业中的每个人都知道装置的专有密码并使用它,那么身份管理仍然不起作用。可能有些人不应该访问物联网装置,但是通过知道密码并使用它,他们就拥有了不必要的特权。
私人虚拟助理总是在监听
与物联网装置和IAM相关的另一个问题是,大多数带有个人助理元件的物联网装置总是在监听它们的唤醒词。然而,一些销售这些产品的公司并不清楚他们如何使用收集到的资讯。因此,人们有理由担心物联网装置中的虚拟个人助理可能会无意中泄露公司和个人机密资讯。
当法院要求Amazon Echo智慧扬声器为2015年谋杀案提供资料时,物联网装置的潜在企业安全风险再次成为人们关注的焦点。分析人士指出,在有关企业的民事案件中,企业拥有的所有资料都可能成为法庭要求检视的证据——包括智慧扬声器等物联网装置包含的任何资讯。
因此,再回到IAM的问题上,始终线上的物联网装置的工作方式意味着,任何被授权在工作中使用物联网装置的各方都应该接受培训,以避免在任何安装有物联网装置的房间里讨论敏感的公司资讯。这是因为即使物联网装置被适当锁定,只有授权的人才能使用,但该装置仍然可以记录机密资讯。
迎接挑战
一些公司已经认识到物联网装置所带来的身份管理问题,并且拥有解决这一安全漏洞的技术。其中之一是Aerohive,它有一款产品叫做Aerohive A3,该产品具有识别公司网络中所有物联网装置并为这些装置分配适当访问控制的功能。
Aerohive产品中有多种访问控制,公司可以通过调整来满足需求。此外,解决方案非常适合需要对物联网装置进行短期网络访问的使用者。
重新思考物联网时代的身份管理
身份管理(IAM)的传统观点是,它与某些人是否可以访问特定资源有关。这一点现在仍然适用,特别是对控制物联网装置的界面的访问。(来源:物联之家iothome)
一家公司可能不会给一个有过可疑行为的人提供访问许可权,相反,这个人必须证明自己有资格获得更多访问许可权,并且可以通过长期观察他们的可靠性和可信度来做到这一点。
同样,公司不应该假设企业级物联网装置没有安全漏洞。在这种情况下,身份管理意味着在允许网络访问之前审查物联网装置是否存在问题。换句话说,公司将企业物联网装置视为未经证实的人。
这样,物联网装置或使用它的人对公司构成危险的可能性就会降低,并且在使用过程中注意身份管理将有助于确保公司不会使访问控制失效。
延伸阅读:
物联网装置管理的4个常见问题
智慧装置会侵犯您的隐私吗?
消费者购买物联网装置的6个原因
物联网安全是一场噩梦,这就是您需要知道的