物聯(lián)網(wǎng)(IOT)包括越來越多的連網(wǎng)設(shè)備，從安全攝像頭到智能恒溫器。許多企業(yè)使用企業(yè)級物聯(lián)網(wǎng)設(shè)備來幫助員工更高效地完成工作，或幫助滿足設(shè)施管理需求。但是，企業(yè)物聯(lián)網(wǎng)還有一個不足之處——身份管理。

[[269790]]

身份管理也稱為身份和訪問管理(IAM)，它確保正確的人能夠訪問完成工作所需的系統(tǒng)和信息。但是，物聯(lián)網(wǎng)的一個普遍問題是，許多相關(guān)技術(shù)的構(gòu)建都沒有考慮到身份管理。

憑證濫用已成問題

當(dāng)人們試圖通過繞過現(xiàn)有訪問控制系統(tǒng)來訪問或成功訪問系統(tǒng)時，就會發(fā)生憑據(jù)濫用。有時候，當(dāng)人們無意中做了一些事情來幫助同事時，就會發(fā)生這種情況，比如與同事共享密碼以避免在等待IT部門給他們密碼時出現(xiàn)工作延誤。

但是，在其他情況下，惡意意圖是驅(qū)動因素，人們利用身份管理的不足來獲取不應(yīng)該擁有的訪問權(quán)限。最近發(fā)布的BeyondTrust全球調(diào)查發(fā)現(xiàn)，64%的受訪者認為，由于員工濫用訪問權(quán)限，他們有過直接或間接的違規(guī)行為。

然后，為了將此討論帶到物聯(lián)網(wǎng)，我們必須認識到許多物聯(lián)網(wǎng)設(shè)備并不具備企業(yè)級所需的強大密碼管理。據(jù)ABI Research公司的一份報告顯示，到2022年，與身份管理相關(guān)的物聯(lián)網(wǎng)設(shè)備收入可能達到215億美元。

某些物聯(lián)網(wǎng)設(shè)備具有默認密碼

身份管理和物聯(lián)網(wǎng)設(shè)備的一個已知問題是，其中一些設(shè)備帶有默認密碼，用戶應(yīng)該更改這些密碼，但他們從來不會更改。Positive Technologies的調(diào)查結(jié)果顯示，大約15%的設(shè)備密碼從未更改過默認值。

此外，當(dāng)人們使用慣用的用戶名/密碼組合時，也會出現(xiàn)問題。更具體地說，Positive Technologies的研究表明，使用五個受歡迎的這種組合可以訪問十分之一的設(shè)備。

值得肯定的是，使用默認密碼將很快成為過去。加州立法者通過了一項法律，該法律將于2020年1月1日生效，要求所有連網(wǎng)設(shè)備在加州銷售或生產(chǎn)時必須帶有唯一的密碼。

這是朝著正確方向邁出的一步，特別是考慮到大多數(shù)公司可能不會僅為加州創(chuàng)建一些設(shè)備。但是，如果企業(yè)中的每個人都知道設(shè)備的專有密碼并使用它，那么身份管理仍然不起作用?？赡苡行┤瞬粦?yīng)該訪問物聯(lián)網(wǎng)設(shè)備，但是通過知道密碼并使用它，他們就擁有了不必要的特權(quán)。

私人虛擬助理總是在監(jiān)聽

與物聯(lián)網(wǎng)設(shè)備和IAM相關(guān)的另一個問題是，大多數(shù)帶有個人助理組件的物聯(lián)網(wǎng)設(shè)備總是在監(jiān)聽它們的喚醒詞。然而，一些銷售這些產(chǎn)品的公司并不清楚他們?nèi)绾问褂檬占降男畔?。因此，人們有理由?dān)心物聯(lián)網(wǎng)設(shè)備中的虛擬個人助理可能會無意中泄露公司和個人機密信息。

當(dāng)法院要求Amazon Echo智能揚聲器為2015年謀殺案提供數(shù)據(jù)時，物聯(lián)網(wǎng)設(shè)備的潛在企業(yè)安全風(fēng)險再次成為人們關(guān)注的焦點。分析人士指出，在有關(guān)企業(yè)的民事案件中，企業(yè)擁有的所有數(shù)據(jù)都可能成為法庭要求查看的證據(jù)——包括智能揚聲器等物聯(lián)網(wǎng)設(shè)備包含的任何信息。

因此，再回到IAM的問題上，始終在線的物聯(lián)網(wǎng)設(shè)備的工作方式意味著，任何被授權(quán)在工作中使用物聯(lián)網(wǎng)設(shè)備的各方都應(yīng)該接受培訓(xùn)，以避免在任何安裝有物聯(lián)網(wǎng)設(shè)備的房間里討論敏感的公司信息。這是因為即使物聯(lián)網(wǎng)設(shè)備被適當(dāng)鎖定，只有授權(quán)的人才能使用，但該設(shè)備仍然可以記錄機密信息。

迎接挑戰(zhàn)

一些公司已經(jīng)認識到物聯(lián)網(wǎng)設(shè)備所帶來的身份管理問題，并且擁有解決這一安全漏洞的技術(shù)。其中之一是Aerohive，它有一款產(chǎn)品叫做Aerohive A3，該產(chǎn)品具有識別公司網(wǎng)絡(luò)中所有物聯(lián)網(wǎng)設(shè)備并為這些設(shè)備分配適當(dāng)訪問控制的功能。

Aerohive產(chǎn)品中有多種訪問控制，公司可以通過調(diào)整來滿足需求。此外，解決方案非常適合需要對物聯(lián)網(wǎng)設(shè)備進行短期網(wǎng)絡(luò)訪問的用戶。

重新思考物聯(lián)網(wǎng)時代的身份管理

身份管理(IAM)的傳統(tǒng)觀點是，它與某些人是否可以訪問特定資源有關(guān)。這一點現(xiàn)在仍然適用，特別是對控制物聯(lián)網(wǎng)設(shè)備的接口的訪問。

一家公司可能不會給一個有過可疑行為的人提供訪問權(quán)限，相反，這個人必須證明自己有資格獲得更多訪問權(quán)限，并且可以通過長期觀察他們的可靠性和可信度來做到這一點。

同樣，公司不應(yīng)該假設(shè)企業(yè)級物聯(lián)網(wǎng)設(shè)備沒有安全漏洞。在這種情況下，身份管理意味著在允許網(wǎng)絡(luò)訪問之前審查物聯(lián)網(wǎng)設(shè)備是否存在問題。換句話說，公司將企業(yè)物聯(lián)網(wǎng)設(shè)備視為未經(jīng)證實的人。

這樣，物聯(lián)網(wǎng)設(shè)備或使用它的人對公司構(gòu)成危險的可能性就會降低，并且在使用過程中注意身份管理將有助于確保公司不會使訪問控制失效。