2.安全培训
Reed说,尽管恶意软件和基于物联网的攻击变得越来越复杂,但成功进行攻击并不需要高度复杂的技术。他解释说:“如果人们不了解自己在良好的网络卫生中所扮演的角色和责任,那么可能会发生一些非常基本的攻击。”
这些角色和职责包括一些显而易见的要点,比如不要点击来自未知或意外来源的附件,但它们远远超出了这些基本要求。毕竟,保护重要的数据和基础设施,InformationSecurityForum常务董事SteveDurbin表示:“首先要求最终用户接受数据需要保护的理念。由于有着不同的社会规范,涉及数据的公认价值,因此需要保护数据,以及谁应该首先负责保护数据。”
Reed说,最大限度地降低员工行为风险的关键是安全教育和培训。他解释说:“除了培训课程,我认为安全教育可以采取多种不同的形式。例如在线媒体在更广阔网络安全教育方面扮演着非常关键的角色。”
3.物联网的可见性
与安全专家进行对话时,一个共同的主题是需要更好地了解用户的网络和基础设施。这种需求不会随着传统IT和物联网设备之间的划分而停止。
Thycotic公司首席安全科学家Carson说:“如果没有物联网设备及其带来的风险,就无法确定物联网数据的潜在安全和隐私风险。要了解物联网设备的风险,用户首先想知道其功能或用途,例如是数据收集器、数据处理器还是数据相关器。在确定作为基础设施的一部分的设备之后,了解功能是第二步。”
安全专业人员在提高其整体基础设施的物联网的可见性方面应该做些什么?nVisium公司Mannino说,“这项工作应该从对物联网设备等资产的架构蓝图进行一致的安全分析,以找出缺失和设计错误的架构控制,并在允许的情况下采用一致的安全代码分析。”
4.消费者设备问题
如果用户有一个网络,则很有可能将消费类设备连接到基础设施。企业员工已将消费类设备作为日常生活的一部分,大多数员工都不愿意放弃这些设备的优势。Durbin说,“当这些消费者工作时,他们也希望将这些功能强大的设备用于业务应用,而在过去的几年中,这导致组织与个人之间,个人信息与公开可用的详细信息之间的界限越来越模糊。”
在许多情况下,问题并非始于员工使用自己的设备,而是始于许多消费类设备在设计之初就并未被设计为安全的业务设备。此外,Dubirn说,“这些设备的使用方式模糊了个人和企业使用与行为之间的界限。其潜在的风险包括滥用设备本身、外部利用软件漏洞,以及部署未经测试的、不可靠的业务应用程序。”