近年智能家居與智能辦公室大行其道,除了燈光、空調系統、音響等,就連小型家電如水杯亦往往具備連網功能。加上港人愈來愈關注健康,不少人配戴具監測運動和心跳功能的智能手帶,IoT 聯網裝置愈見普及。然而這些 IoT 裝置的安全卻往往被忽略,造成企業網絡安全漏洞。
近日,Palo Alto Networks 便發表一份調查報告,發現物聯網設備如心臟監測儀、水壺和健身單車等,竟定期連接到香港企業的網絡。專家警告,企業須採取實際行動,以防這些設備遭黑客利用。舉例說,2016 年 10 月,黑客便曾入侵逾十萬部 IoT 設備,組成名為「Mirai」的殭屍網絡並發動大規模 DDoS 攻擊,癱瘓了域名註冊服務提供商 Dyn,同時導致 Airbnb、Netflix、Twitter 等主要互聯網服務中斷。由此可見,IoT 設備保安實在不容忽視。
Microsegmentation 最佳實踐
是次發表的報告結果顯示,91% 香港受訪者表示,去年連接到企業網絡的物聯網設備有所增加。但同時,危險的警號響起,近三成受訪者反映他們需要大幅改善其企業物聯網保安措施;另 37% 受訪者更表示需要徹底的改進,整體接近七成。
「愈來愈多聯網裝置連接到企業網絡,而機構內的 IT 決策人亦愈來愈多。問題是,當中不少根本沒有將 IoT 裝置納入保安考慮,看不見的東東自然亦監控不到。」Palo Alto Networks 副總裁兼亞太區安全總監 Sean Duca 認為,網絡區隔(Network Segmentation)勢必成為未來的最佳實踐範例。
可惜調查顯示,20% 受訪者表示他們還未將物聯網設備分隔到單獨的網絡;另僅 21% 的受訪者遵循最佳實踐,利用網絡微切分 (microsegmentation) 將物聯網設備保管於企業嚴格控制的保安區域。
本港企業在 IoT 安全意識低
Palo Alto Networks 香港及澳門董事總經理馮志剛則表示:「本港企業在 IoT 安全意識方面相對較低,員工無意識地連接到企業網絡的 IoT 設備,通常缺乏保安考量,有機會成為輕易存取到公司機密資料和系統的缺口。為應對這種威脅,安全團隊需要能夠識別新設備,評估其風險,判斷該設備一般情況下的行為,並迅速採用安全策略。」
傳統網絡配備無法應對大幅增加的物聯網設備。企業需要為聯網設備行為定立標準 (baselines),以給予新建議措施協助阻止惡意活動。