虽然风险通常很容易理解,但物联网设备的庞大数量和多样性需要比企业可能行使的更高水平的关注和控制。物联网环境最有害的风险包括:
无法发现所有物联网设备。物联网工具和实践必须能够发现和配置环境中的所有物联网设备。未被发现的设备是非托管设备,可以为黑客访问网络提供攻击媒介。在更广泛的意义上,管理员必须能够发现和控制网络上的所有设备。
访问控制薄弱或缺失。物联网安全取决于每个设备的正确身份验证和授权。每个设备的唯一标识符加强了这一点,但配置每个物联网设备的最低权限仍然很重要——只访问必要的网络资源。通过采用强密码并为每个物联网设备启用网络加密来加强其他安全措施。
忽略或忽略设备更新。IoT 设备可能需要对内部软件或固件进行定期更新或补丁。忽略或忽略设备更新可能会使 IoT 设备容易受到入侵或黑客攻击。在设计物联网环境时考虑更新物流和实践。某些设备可能难以或不可能在现场更新,甚至可能无法访问或脱机有问题。
网络安全性差或薄弱。物联网部署可以将数千台设备添加到 LAN。每个新设备都会打开一个潜在的入侵接入点。实施物联网的组织通常会实施额外的网络安全措施,包括入侵检测和预防系统、严格控制的防火墙和全面的反恶意软件工具。组织也可能选择将 IoT 网络与 IT 网络的其余部分分开。
缺乏安全政策或流程。策略和流程对于适当的网络安全至关重要。这代表了用于跨网络配置、监控和实施设备安全的工具和实践的组合。适当的文档、清晰的配置指南以及快速报告和响应都是物联网和日常网络安全的一部分。