春天可能是我一年中最喜歡的時(shí)間。雪正在融化�����,陽(yáng)光燦爛,空氣聞起來更新鮮���。就好像世界正在為我們其他人樹立一個(gè)榜樣���,讓我們知道是時(shí)候開始新鮮事了?����,F(xiàn)在是春季大掃除的時(shí)候了
- 在安全領(lǐng)域,春季大掃除不僅僅是擦拭臺(tái)面和點(diǎn)燃一些帶香味的蠟燭���。Spring是清除網(wǎng)絡(luò)安全策略,重新評(píng)估它們并衡量它們是否仍然有效的最佳時(shí)機(jī)����。
今天的世界越來越相互聯(lián)系���,隨著互聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)的不斷增長(zhǎng) - 如智能手機(jī)�,IP攝像機(jī)���,路由器等 -
引發(fā)了新的安全問題��。每個(gè)新端點(diǎn)都代表了潛在入侵者的潛在入侵����。雖然使用IP監(jiān)控?cái)z像頭監(jiān)控學(xué)校或醫(yī)院可以提供重大的安全保障��,但確保這些設(shè)備不會(huì)成為漏洞非常重要。
正如您要測(cè)試臥室中的煙霧探測(cè)器或前門上的鎖定以確保它們保持良好的工作狀態(tài)一樣���,您也必須測(cè)試保護(hù)網(wǎng)絡(luò)安全的保護(hù)和警報(bào)�����。
今天,每個(gè)企業(yè)都會(huì)收集越來越多的數(shù)據(jù)�,無論是以客戶數(shù)據(jù)庫(kù)的形式�����,開發(fā)中的新產(chǎn)品計(jì)劃����,還是從連接的攝像機(jī)收集的監(jiān)控視頻��。
所有這些數(shù)據(jù)都具有價(jià)值��,各種規(guī)模的企業(yè)數(shù)據(jù)收集的增加意味著主要的跨國(guó)公司不再是當(dāng)今新一代網(wǎng)絡(luò)犯罪分子的主要關(guān)注點(diǎn)?����,F(xiàn)在每個(gè)人都是潛在的目標(biāo)�����,使網(wǎng)絡(luò)安全成為大小企業(yè)的首要任務(wù)����,無論是私人還是公共企業(yè)。
不幸的事實(shí)是�,建立一個(gè)100%安全的網(wǎng)絡(luò)是不可能的。網(wǎng)絡(luò)變得越來越復(fù)雜 -
物聯(lián)網(wǎng)已經(jīng)導(dǎo)致終端數(shù)量猛增����。雖然新工具和設(shè)備可以為用戶提供更多便利����,但它們也是入侵者利用的新入口點(diǎn)。像IP監(jiān)控?cái)z像頭這樣的設(shè)備旨在使組織安全可靠��,但如果不仔細(xì)維護(hù)和保護(hù)�,它們最終可能成為網(wǎng)絡(luò)的弱點(diǎn)��。
這并不意味著組織應(yīng)該停止使用這些技術(shù)。IP攝像機(jī)和其他連接解決方案是眾多行業(yè)的重要資源�,不僅有助于保護(hù)業(yè)務(wù),還有助于保護(hù)客戶�����。仍然,識(shí)別和解決這些設(shè)備和其他設(shè)備固有的漏洞是安全有效地部署它們的關(guān)鍵方面。
組織可以采取一些步驟來解決一些最基本的漏洞�����。把它想象成你的前門。當(dāng)然����,一個(gè)堅(jiān)定的罪犯可以打破門 -
但強(qiáng)大的鎖定和有效的監(jiān)控系統(tǒng)可以確保這樣做不值得任何人���。
正如你春天打掃房屋����,給書架上的灰塵,拖地板����,以及確保一切都能正常運(yùn)行一樣,以下是您可以采取的步驟來清理您的網(wǎng)絡(luò)���。
1.采取簡(jiǎn)單的預(yù)防措施防止違規(guī)行為
這可能看起來很明顯�����,但即使是像密碼保護(hù)這樣簡(jiǎn)單的事情也很重要 -
而且這意味著強(qiáng)迫用戶在密碼中使用數(shù)字和符號(hào)�����。與密碼相關(guān)的違規(guī)行為發(fā)生的頻率高于您的預(yù)期���,其中最常見的違規(guī)行為實(shí)際上與個(gè)人用戶密碼無關(guān)。相反�����,當(dāng)組織無法更改其設(shè)備上的默認(rèn)密碼時(shí)�,就會(huì)發(fā)生這種情況。
不久前��,Mirai
Botnet通過利用數(shù)百萬臺(tái)連接設(shè)備上使用的已知/默認(rèn)密碼而猖獗���。無論相關(guān)設(shè)備是路由器還是IP攝像機(jī)���,如果它連接到組織的網(wǎng)絡(luò),重要的是為其分配一個(gè)唯一的密碼 -
符合強(qiáng)大且一致的密碼策略的密碼����。
適應(yīng)性很重要�。Mirai
Botnet揭示了一個(gè)以前鮮為人知的安全漏洞����,組織被迫將這些新知識(shí)迅速納入其安全程序。然而��,Mirai不是第一個(gè)利用被忽視的安全問題的惡意軟件�,也不是最后一個(gè)。
組織必須時(shí)刻了解威脅形勢(shì)的新發(fā)展�,并且必須準(zhǔn)備好采取適當(dāng)?shù)拇胧﹣砭徑庑碌娘L(fēng)險(xiǎn)。意識(shí)到��。準(zhǔn)備好適應(yīng)����。
2.確保物聯(lián)網(wǎng)設(shè)備安全
很多門窗可能會(huì)使房子更方便,但這也意味著入侵者有更多潛在的入口點(diǎn)���。網(wǎng)絡(luò)也是如此��,因?yàn)镮P視頻攝像機(jī)��,路由器���,智能手機(jī)和其他設(shè)備加入物聯(lián)網(wǎng)和更廣泛的互聯(lián)生態(tài)系統(tǒng)����。
您可能認(rèn)為只有服務(wù)器或計(jì)算機(jī)等設(shè)備需要強(qiáng)大的網(wǎng)絡(luò)安全性��,但事實(shí)是連接到網(wǎng)絡(luò)的每個(gè)設(shè)備都代表了一個(gè)需要妥善保護(hù)的潛在接入點(diǎn)����。
如果存在現(xiàn)有的網(wǎng)絡(luò)安全策略�,請(qǐng)確保您的IoT設(shè)備符合這些策略和安全要求。這有助于您的網(wǎng)絡(luò)安全團(tuán)隊(duì)確保他們不必重新發(fā)明輪子 -
他們可以簡(jiǎn)單地遵循IT安全人員已經(jīng)列出的指導(dǎo)方針�。
所需要的只是一個(gè)易受攻擊的設(shè)備來破壞其他設(shè)備,了解連接設(shè)備中的漏洞不僅僅意味著建立自己的網(wǎng)絡(luò)安全策略�����。它還意味著與您的技術(shù)合作伙伴���,安裝人員和集成商交談�����,以充分了解他們所采取的安全措施
- 以及網(wǎng)絡(luò)中新項(xiàng)目或現(xiàn)有項(xiàng)目的任何潛在缺陷�。與合作伙伴合作非常重要,致力于向行業(yè)和客戶介紹現(xiàn)有威脅和有效對(duì)策�。
3.確保您的技術(shù)合作伙伴擁有固件,工具和強(qiáng)化指南
我們都在這里:您的操作系統(tǒng)需要更新�,但您不想重新啟動(dòng)計(jì)算機(jī)。所以���,你把它推遲了����。持續(xù)數(shù)天��。數(shù)周����。這是可以理解的:畢竟,如果版本2.0仍然運(yùn)行順利���,為什么還要更新到3.0版?
不幸的是�,這種思維方式是讓整個(gè)網(wǎng)絡(luò)面臨風(fēng)險(xiǎn)的好方法���。存在更新是有原因的�,其原因不是讓用戶感到沮喪 - 通常是修補(bǔ)開發(fā)人員或制造商發(fā)現(xiàn)的漏洞�。
制造商(而非用戶)發(fā)現(xiàn)了大多數(shù)弱點(diǎn)����,他們運(yùn)行漏洞掃描和滲透測(cè)試以找到它們��。然后他們發(fā)布補(bǔ)丁以糾正他們發(fā)現(xiàn)的任何問題���,使軟件更安全���。推遲推薦的更新可能會(huì)使攻擊者利用已知漏洞。
雖然計(jì)算機(jī)可能首先浮現(xiàn)在腦海中�����,但仍有無數(shù)其他設(shè)備需要定期更新以修補(bǔ)漏洞�。像IP安全攝像頭這樣的設(shè)備可能位于網(wǎng)絡(luò)的邊緣����,但如果沒有得到適當(dāng)?shù)谋Wo(hù),它們也可能成為攻擊者的潛在入侵���。
可能需要管理數(shù)百(甚至數(shù)千)個(gè)IoT設(shè)備�����。在選擇安全合作伙伴時(shí)��,重要的是選擇一個(gè)認(rèn)真對(duì)待這個(gè)問題的合作伙伴��,并使用強(qiáng)大的強(qiáng)化指南來保護(hù)他們的產(chǎn)品和易于使用的設(shè)備管理工具�����。組織當(dāng)然不希望入侵者竊取數(shù)據(jù)或入侵監(jiān)視源
- 并且未能更新任何連接的設(shè)備使他們有機(jī)會(huì)做到這一點(diǎn)�。
4.有效管理產(chǎn)品生命周期
在類似的說明中,請(qǐng)記住���,沒有什么是永恒的��。產(chǎn)品的功能壽命有時(shí)可以超過其經(jīng)濟(jì)壽命�,這意味著產(chǎn)品即使在制造或支持它之后也不再有意義�����,它也可以工作��。
雖然擁有長(zhǎng)壽命的產(chǎn)品可能看起來是件好事���,但如果制造商不再更新它可能會(huì)帶來嚴(yán)重的安全問題�����。例如�,如果制造商不再有計(jì)劃糾正問題,則具有已知安全漏洞的攝像機(jī)或路由器可能代表網(wǎng)絡(luò)的危險(xiǎn)入口點(diǎn)�。
網(wǎng)絡(luò)管理員必須及時(shí)了解已知的漏洞和安全威脅,尤其是舊產(chǎn)品��。跟蹤連接到網(wǎng)絡(luò)的設(shè)備�,并確保了解制造商是否停止提供補(bǔ)丁和其他支持�����。
由于潛在的漏洞堆積如山��,重要的是要知道產(chǎn)品何時(shí)達(dá)到其可行生命周期的終點(diǎn)�����,變得更多的是負(fù)債而不是資產(chǎn)�����。對(duì)于IP攝像機(jī)等監(jiān)控設(shè)備��,一個(gè)未修補(bǔ)的漏洞可以提供對(duì)整個(gè)視頻管理系統(tǒng)和更廣泛網(wǎng)絡(luò)的訪問��。
法規(guī)遵從性是實(shí)施生命周期管理計(jì)劃的另一個(gè)重要原因����。無論是聯(lián)邦和各州政府已經(jīng)開始采用更嚴(yán)格的物聯(lián)網(wǎng)的法律���,許多制造商將不得不作出顯著硬件和軟件變更保持兼容��。
可能無法始終升級(jí)舊設(shè)備以符合要求,最終用戶制定的生命周期更換計(jì)劃將確保新設(shè)備在不斷變化的立法環(huán)境中符合要求�����。
