物联网安全：让用户对安全隐患保持警惕

　　如今，物联网的应用越来越广泛，但也引入了可能使企业的网络面临风险的新漏洞。而为用户提供持续的安全培训，以及与其工作相关的示例，将有助于保护企业数据的安全。

　　那些费用高昂的防火墙和数据丢失防护软件包也无法阻止最终用户不受到影响。随着物联网(IoT)在企业的应用越来越广泛，它也增加了可以为安全漏洞开放组织的端点。如果没有适当地向安全部门简要介绍用户，其结果可能是安全策略的一个大漏洞。由于威胁迅速演变和变化，专家建议企业定期与最终用户进行核对。

　　不知不觉的最终用户甚至没有意识到这种风险。据Mosaic 451创始人兼管理合伙人Mike Baker介绍，员工是安全最大的风险。他说，大多数最大的数据泄露事件，网络钓鱼诈骗和勒索软件的问题源于黑客成功利用终端用户获取系统的机会。

　　“智能手机和平板电脑等移动设备的扩散也使得人为因素更加脆弱，因为这个安全领域常常被忽视。”他补充说，企业的员工需要对信息安全实践进行培训，而且这种培训需要持续进行。

　　规定员工的期望并相应地进行培训

　　ID Agent公司首席执行官Kevin Lancaster表示，从员工入职的第一天起，企业就需要为员工设定有关物联网安全的期望。此外，这需要一个员工可以联系和理解的框架。

　　Lancaster说：“广泛使用的，通用的，一刀切的安全意识培训令人失望。员工往往会很容易通过多种选择题的培训考核。他们真正需要的是使用具体的例子将培训与组织中的具体职位联系起来。”

　　Lancaster说：“通过实施定制的，特定位置的，以及定期的安全意识培训，团队中的每个人都可以帮助确保业务保持安全，避免安全漏洞带来的痛苦和代价高昂的损失。”

　　“例如，就像家用车库开门设备这样无害的东西可能使组织变得脆弱。如果驾驶者使用基于网络的平台在汽车靠近房屋时打开车库门，并将警报发送到工作电子邮件帐户，并且密码与网络密码具有相同的权限，则员工刚刚开放了黑客攻击漏洞。”Lancaster特解释说。

　　强调密码的重要性

　　对信息安全专家来说，创建一个强大的密码似乎是显而易见的，但最终用户对密码的“强大”的定义可能会有所不同。他们也可能希望选择容易记住的密码，所以他们不必要求重置。而这可以为黑客开放了一个违规和攻击组织的安全漏洞。

　　SolarWinds公司首席执行官Destiny Bertucci说：“希望加强安全政策的企业应鼓励员工使用更好的密码实践。”她建议使用密码生成器和保管库自行创建密码并存储下来，以便最终用户在忘记密码时可以访问密码。

　　对新的安全隐患保持警惕

　　MicroFocus公司战略副总裁Geoff Webb表示，让用户意识到风险只是教育最终用户的第一步。“将设备放置在安全性较差的工作场所可能会让风险得到增长，攻击者将越来越多地看到这一点，这是过去传统安全控制中的后门。”而个人设备和商业设备之间的界限仍然模糊不清。

　　Webb说，IT部门需要研究用户引入的设备，询问使用的类型和配置方式。同样重要的是要确保用户知道要去哪里获取更多信息和配置，以确保设备安全和可靠。

　　Webb表示，新的利益相关方也可能需要需要被纳入进来。例如，楼宇管理系统可能需要采用智能灯泡来节省电力，并改善控制。但是，如果组织配置不正确或没有安全团队的审核，可能会对组织带来风险。

　　最重要的是，终端用户需要了解当个人设备也是企业生活的一部分时，物联网安全界线会模糊这一事实。“毕竟，如果一个用户将一个容易受到攻击的设备带入网络，他们不仅将为黑客开辟窃取企业数据的渠道，而且还可能是他们自己在家里的个人信息，以及家庭和工作之间的界限模糊不清。Webb表示，这对工作和生活都有影响，现在商业风险成为人们自己日常生活的一部分。”

　　对于IT专业人士来说，这意味着制定风险，与最终用户保持联系，并强调必须采取适当的安全措施。物联网只是变得越来越普遍，终端用户做好安全工作可能是防范违规行为的最佳防范措施之一。