【物聯網安全】疫下家居IoT設備 連接企業網絡易招黑客攻擊
▲ Palo Alto Networks香港及澳門董事總經理馮志剛提醒,疫下員工在家工作,將增加連接企業網絡的物聯網裝置數目,黑客或有機可乘,故企業應提高系統安全度。
物聯網(IoT)科技近年急速彈起,惟設備連接得越多,所收集的數據亦越多,變相增加黑客進行網絡攻擊的缺口。
網絡安全公司Palo Alto Networks日前發表報告《The Connected Enterprise:IoT Security Report 2020》指,疫下員工在家工作,不少物聯網設備如心臟監測儀、水壺和健身單車等,持續連接到企業的網絡。專家警告,企業宜制定IoT保安策略,以防攻擊面增加時,公司機密資料輕易被盜。
報告顯示,整體有多達95%的資訊科技(IT)決策者認為,連接公司的物聯網設備具有完全的可見性,對系統相當有信心。惟在提高安全度上,只有4%稱毋須再改善物聯網的保安;41%則承認仍有大量改進空間,更有17%直指需要進行徹底改革。
比較不同地區,過去一年,92%亞太地區(APAC)受訪者已增加應用物聯網設備,比北美(88%)和歐洲、中東及非洲(EMEA,88%)為高。當中印度有69%企業顯著增加物聯網設備,成為採用率最高的國家。
健康廚具裝置 最常進入企業網絡
疫下在家工作成新常態,越來越多非商業設備進入企業網絡,最常見的是可穿戴健康裝置(44%)、小型廚具(43%)、運動設備(38%)、遊戲設備(35%)、桌面玩具如機械人(34%)及車輛設備(27%)。
Palo Alto Networks香港及澳門董事總經理馮志剛指出,香港物聯網設備的應用率比不少發達地區低,疫情卻使企業加快數碼轉型,對物聯網的關注度持續上升。「但員工無意識地連接到企業網絡的物聯網設備,在缺乏保安考量下,有機會成為輕易存取公司機密資料和系統的缺口。」
據該企威脅情報團隊Unit 42分析,57%的物聯網設備容易受到中度至高度攻擊,為安全威脅響起警號。有24%受訪者表示,還未將物聯網設備分隔到單獨的網絡;只有21%利用網絡微切分(Microsegmentation),將物聯網設備保管於企業嚴格控制的保安區域。
宜採網絡分段 減少攻擊面
報告建議,為提高物聯網設備的可見性,企業首要計算網絡中設備的數量及類型,以便評估風險;並實行網絡分段(Segmentation)來減少攻擊面,檢查跨越分段邊界的應用程式及流量,阻止潛在威脅。
網絡安全分析師Tanner Johnson亦提醒,傳統的網絡配備無法應對大幅增加的物聯網設備,企業宜為聯網設備行為定立標準(Baselines),以給予新建議措施協助阻止惡意活動。舉例,當連接網絡的溫度調節器,開始向不明網站傳送數百GB的數據時,企業的安全系統便要發出警報。
該報告於今年4月至5月,訪問來自亞洲、歐洲、中東和北美14個國家或地區,合共1350名IT業務管理層,旨在探討物聯網的安全措施。
記者:姚慧儀
