物联网安全存在怎样的隐患

首席信息官和IT经理允许物联网设备进入他们的公司网络，但有将近一半（47％）的企业不会去修改设备初始密码，即使一个企业采用物联网设备的第一步就是要更改初始安全信息。

这是由网络安全公司ForeScout的研究课题小组CensusWide调查得出的。

据ForeScout称，英国有570万注册企业，如果调查统计数据适用于所有的企业，那么近270万个企业将为网络犯罪分子留下明显的安全漏洞。

初始密码可能成为黑客侵入网络最简单的方式，这不仅对个人设备和物联网系统带来潜在损害，还会导致整个企业的数据丢失及声誉受损。

15％的企业承认他们未能在连网设备上及时更新安全补丁，这让企业面临的风险进一步增加。只有54%的人完全相信他们的系统有充分的可见性，并且可以识别网络上的每一个设备。

越来越多的攻击面

除非企业立即采取措施来保护他们的网络，否则问题只会随着设备数量的增加而变得更加严重。ForeScout报告指出，40％的受访者表示他们计划增加连网设备上的运营技术支出。

但是，72％的IT经理承认他们担心在网络中添加更多的设备会带来安全隐患。

ForeScout欧洲、中东和非洲地区副总裁Myles Bray解释说：“IT和商务运营之间的融合是企业在2018年推动效率增长的主要途径，但这会让确切地知道网络上连网有多少设备变得更加困难。”

他说：“物联网让所有公司的攻击面都扩大了，如果没有基本的安全常识，坏人很容易获得立足点，然后在网络上横向扩展，以获得高价值资产并导致业务中断。随着GDPR即将到来，企业需要立即采取行动。”

与此同时，研究公司Ponemon Institute最近的CISO调查发现，近一半（47％）的首席信息安全官（CISO）担心由于自身工作场所的不安全导致物联网设备遭受攻击。

2018年，物联网、移动和云计算被列为三大颠覆性技术。

然而，安全公司Cy-OT的首席执行官兼共同创始人Natan Bandler认为，由于物联网的部署，大多数企业都存在着严重的漏洞，因此，实际数字可能远远不止47％。

他说：“攻击物联网设备本身并不会产生太大影响，但是，这些物联网设备可以访问大量的敏感资产，物联网设备只是作为获取这些数据的方式而已。”

他补充说到：“物联网设备是侵入系统最简单的方式，因为它们是企业网络安全链中最薄弱环节，企业对这些设备的可见性为零，并且没有得到足够的保护。”

考虑到相当多的公司甚至没有更换设备初始密码，在接下来的几个月里很可能会有更多的公司被攻击。

业界观点

尽管保护物联网系统安全可能很复杂，但多份报告发现许多企业缺乏安全策略，而且许多企业也忽略了基本的安全程序，这种行为可能会被认为是严重的疏忽。

随着越来越多的厂商争相进入市场，物联网设备也随之越来越多，许多设备缺乏企业级部署的必要经验，这就造成了一个更糟糕环境，在这种环境下，更多的决策者意识到风险，但没有承担起解决这些安全问题的责任。