如果沒有政策和可見的物聯(lián)網(wǎng)技術(shù)庫存，組織將其網(wǎng)絡和數(shù)據(jù)置于未經(jīng)授權(quán)訪問固有不安全設備的風險之中。

組織領(lǐng)導者每年都會部署數(shù)百萬臺設備來構(gòu)建其物聯(lián)網(wǎng)部署，但他們并不是唯一連接到組織網(wǎng)絡的設備。員工還在工作場所中部署了數(shù)量驚人的智能設備，其中許多未經(jīng)許可使用。這種趨勢稱為影子物聯(lián)網(wǎng)，并可能使組織面臨風險。

影子物聯(lián)網(wǎng)就像影子IT一樣，由于沒有IT團隊和IT安全部門對設備的可見性，并且無法監(jiān)視或保護看不見的東西，因此會帶來安全風險。

技術(shù)市場咨詢機構(gòu)ABI Research公司的數(shù)字安全研究主管Michela Menting表示：“它給組織構(gòu)成了嚴重威脅，因為它提供了一種可以很容易地檢測到惡意流量的載體。”

對于未經(jīng)批準的技術(shù)的使用對于IT和安全主管來說已經(jīng)不是什么新鮮事了，他們數(shù)十年來一直與影子IT作斗爭。專家將影子IT定義為未經(jīng)技術(shù)部門授權(quán)或批準，也未經(jīng)安全團隊審查的硬件和軟件的實現(xiàn)和使用。

影子物聯(lián)網(wǎng)擴展了IT和安全領(lǐng)導者面臨的挑戰(zhàn)。他們必須在對技術(shù)的支持之間取得平衡，該技術(shù)使工人的工作更輕松，并且可以防御網(wǎng)絡安全威脅。

全球網(wǎng)絡安全組織Kudelski Security公司首席執(zhí)行官Andrew Howard說，“對于個人來說，在不知情或未經(jīng)批準的情況下，將互聯(lián)網(wǎng)連接設備或設備網(wǎng)絡添加到公司網(wǎng)絡中通常是相當容易的。通常，用戶添加這些設備是為了個人方便或幫助他們完成工作，而不知道它們可能會給企業(yè)環(huán)境增加風險。通常情況下，用戶在添加這些設備是出于個人方便或幫助他們完成工作，而不了解他們是這些設備中的絕大多數(shù)都不是設計安全的。”

在IT自動化和安全廠商Infoblox公司發(fā)布的名為《潛伏在網(wǎng)絡上的是什么：暴露影子設備的威脅》的報告中，最常見的影子物聯(lián)網(wǎng)設備類型是健身追蹤器、數(shù)字助理（如亞馬遜的Alexa）、智能電視、智能廚房設備（如互聯(lián)微波爐）和游戲機，比如Xbox和PlayStation。

其他影子物聯(lián)網(wǎng)設備可能包括無線打印機、無線恒溫器和監(jiān)控攝像頭，而無需IT或安全專業(yè)人員，設施部門或工作人員便可以輕松安裝它們。

一些組織還發(fā)現(xiàn)員工可以連接智能音箱、連接的燈光和RaspberryPi硬件。Infoblox產(chǎn)品營銷副總裁AnthonyJames表示，RaspberryPi是一款小型單板計算機，用戶可以對其進行配置以執(zhí)行許多任務。

James補充說：“這更多地歸結(jié)為人們正在連接的個人物品——不需要太多技術(shù)知識的設備。所有這些設備都有IP地址，它們已經(jīng)成為許多組織的一大盲點。”

影子物聯(lián)網(wǎng)如何威脅組織

智能手表和連接的設備看似無害，但專家強調(diào)，影子物聯(lián)網(wǎng)給組織帶來了重大風險。最令人擔憂的是設備本身經(jīng)常缺乏嵌入式安全性。

Menting說：“由于容量低、計算資源不足或電池有限，許多物聯(lián)網(wǎng)設備都缺乏基本的安全功能，無論是嵌入式硬件安全還是安全軟件。這意味著它們很容易被顛覆或攔截。”

黑客可以將缺乏嵌入式安全性作為進入組織網(wǎng)絡的入口，在這種情況下，權(quán)限升級使他們更受限制地訪問更敏感的信息。

Menting說，該漏洞和物聯(lián)網(wǎng)設備數(shù)量的整體增加進一步誘使不良行為者為僵尸網(wǎng)絡和拒絕服務或分布式拒絕服務攻擊而入侵或定位設備。

這不是一個假設的場景;這樣的攻擊已經(jīng)發(fā)生。在通過互聯(lián)網(wǎng)連接的魚缸訪問北美一家賭場的網(wǎng)絡后，黑客于2017年竊取了10GB的數(shù)據(jù)。

專家預計，針對物聯(lián)網(wǎng)的攻擊數(shù)量以及這些攻擊的復雜性會隨著連接設備數(shù)量的增加而增加。云安全組織Zscaler公司研究部門Threat LabZ在其有關(guān)企業(yè)物聯(lián)網(wǎng)的2020年報告中，詳細介紹了影子物聯(lián)網(wǎng)的興起以及攻擊風險。到2020年初，受阻止的惡意軟件嘗試次數(shù)為每月14，000次，高于2019年5月的2，000件基于物聯(lián)網(wǎng)的惡意軟件，而不到一年的時間增加了7倍。

防范影子物聯(lián)網(wǎng)的威脅

對于影子物聯(lián)網(wǎng)或針對連接設備的黑客來說，IT和安全領(lǐng)導者并非無能為力。專家建議組織通過未遵循的人員、流程和技術(shù)政策來控制未經(jīng)批準的設備帶來的風險。

Howard說：“可見性是預防或補救影子物聯(lián)網(wǎng)問題的第一步。組織必須了解什么設備已連接到其網(wǎng)絡，然后才能有效應對挑戰(zhàn)。”

企業(yè)IT和安全主管必須確定應使用哪些策略來管理連接到組織網(wǎng)絡的設備。他們還應使用IP地址管理工具等技術(shù)來創(chuàng)建連接到網(wǎng)絡的設備清單。然后，他們可以使用自動化和威脅情報來執(zhí)行策略并防御黑客。

組織必須從一開始就建立安全性和有效的管理。Howard表示，市場上有以物聯(lián)網(wǎng)為重點的工具，它們可以提供可視性，并提供有關(guān)特定物聯(lián)網(wǎng)設備帶來的風險的場景。

組織可以開發(fā)和應用基于策略的方法來隔離或阻止試圖連接到公司網(wǎng)絡的未知IT和物聯(lián)網(wǎng)設備。這樣，許多組織可以批準未知的設備連接，但只能批準到專門針對無法訪問組織資源的不受信任設備的網(wǎng)段。