物联网(IOT)包括越来越多的连接设备,从安全摄像头到智能恒温器。许多组织使用企业级物联网设备来帮助员工更有效地完成工作或满足设施管理需求。但是,企业物联网还存在另一个缺点。——身份管理。
身份管理(也称为身份和访问管理(IAM))可确保合适的人员可以访问完成工作所需的系统和信息。然而,物联网的一个常见问题是许多相关技术并未考虑到身份管理。
凭证滥用已成为一个问题
当人们试图通过绕过现有的访问控制系统来访问或成功访问系统时,就会发生凭证滥用。有时这会发生在人们无意中帮助同事时,例如与同事共享密码以避免工作延迟,同时等待IT部门给他们密码。
但是,在其他情况下,恶意意图是驱动因素,人们使用缺乏身份管理来获取他们不应拥有的访问权限。 BeyondTrust最近的一项全球调查发现,64%的受访者认为,由于员工滥用访问权,他们有直接或间接的违规行为。
然后,为了将这个讨论带到物联网,我们必须意识到许多物联网设备没有企业级所需的强密码管理。根据ABI Research的报告,到2022年,与身份管理相关的物联网设备收入可能达到215亿美元。
某些IoT设备具有默认密码
身份管理和物联网设备的一个已知问题是,这些设备中的某些设备具有用户应该更改的默认密码,但它们永远不会更改。根据Positive Technologies的调查,大约15%的设备密码从未改变其默认值。
此外,当人们使用通用用户名/密码组合时,可能会出现问题。更具体地说,Positive Technologies的研究表明,使用五种流行的组合可以访问十分之一的设备。
值得注意的是,使用默认密码很快就会成为过去。加利福尼亚州立法者通过了一项法律,该法律将于2020年1月1日生效,要求所有联网设备在加利福尼亚州使用唯一密码进行销售或生产。
这是朝着正确方向迈出的一步,特别是考虑到大多数公司可能不会仅为加利福尼亚创造一些设备。但是,如果企业中的每个人都知道设备的专有密码并使用它,则身份管理仍然无效。可能有人不应该访问IoT设备,但通过了解密码并使用它,他们拥有不必要的权限。私人虚拟助手总是在听
与物联网设备和IAM相关的另一个问题是,大多数具有个人助理组件的物联网设备始终在听他们的唤醒词。但是,一些销售这些产品的公司不确定他们如何使用他们收集的信息。因此,有理由担心物联网设备中的虚拟个人助理可能无意中泄露公司和个人机密信息。
当法院要求Amazon Echo智能发言人提供2015年谋杀案的数据时,物联网设备潜在的企业安全风险再次成为人们关注的焦点。分析人士指出,在涉及公司的民事案件中,公司拥有的所有数据可能成为法院要求查看的证据。——包括智能扬声器等物联网设备中包含的任何信息。
因此,回到IAM,我总是在线使用物联网设备的方式意味着任何有权在工作中使用物联网设备的人都应接受培训,以避免安装任何物联网设备。在房间里讨论敏感的公司信息。这是因为即使物联网设备被正确锁定并且只有授权人员才能使用它,设备仍然可以记录机密信息。
面对挑战
一些公司已经认识到物联网设备带来的身份管理问题,并拥有解决这一安全漏洞的技术。其中之一是Aerohive,其产品名为Aerohive A3,能够识别企业网络中的所有物联网设备,并为这些设备分配适当的访问控制。
Aerohive产品中有多种访问控制,公司可以根据需求进行调整。此外,该解决方案非常适合需要对物联网设备进行短期网络访问的用户。
重新思考物联网时代的身份管理
身份管理(IAM)的传统观点是它涉及某些人是否可以访问特定资源。这仍然适用于今天,特别是访问控制IoT设备的接口。
公司可能无法访问有可疑行为的人。相反,该人必须证明他们有资格获得更多的访问权限,并且可以通过长期观察其可靠性和可信度来实现这一目标。
同样,公司不应该假设企业级物联网设备没有安全漏洞。在这种情况下,身份管理意味着在允许网络访问之前检查IoT设备的问题。换句话说,该公司认为企业物联网设备未经证实。
通过这种方式,物联网设备或使用它的人不太可能给公司带来风险,在使用过程中注意身份管理将有助于确保公司不会使访问控制无效。
上海IT外包服务网 链接:http://www.linemore.com
中文
电话咨询
微信咨询
公众号
