工作場所 IoT 裝置:個人自備裝置 (BYOD) 環境的資安風險與威脅

IoT Devices Workplace Security Risks Threats BYOD Environments

物聯網(IoT ,Internet of Thing除了徹底改變了 家庭與 各種產業的樣貌之外,也讓企業發生重大的轉變,其中最明顯的轉變就是工作場所開始出現各種員工自己的 IoT 裝置。

隨著企業導入所謂的「 BYOD 」(個人自備裝置) 政策,員工可以將自己的筆電、平板、智慧型手機帶到工作場所使用,並連上辦公室網路,這已經是大家熟悉的情景,但如今又有了新的變化。現在,員工也常將自己個人的 IoT 裝置攜帶到公司以方便他們在上班時使用。這類裝置包括:智慧手錶與健身手環等穿戴裝置、電子書閱讀器與掌上型遊戲機,甚至是智慧咖啡機與智慧印表機等攜帶型家電。

然而這類 IoT 裝置大量進入工作場卻給企業 (尤其是資安團隊) 帶來了許多新的挑戰。資安團隊除了必須保護員工的筆電、平板、智慧型手機這些主流 BYOD 裝置的安全以及企業本身的資產之外,現在又必須面對消費型 IoT 裝置日益普及所帶來的風險和威脅。尤其,這類新式 IoT 裝置遭駭客入侵的一些事件已突顯出科技方便性的背後也伴隨著一些資安隱憂,而這並非所有企業目前都能應付的。

公司現有的 BYOD 政策與管理程序,對於防範未經授權的存取與守護企業資產扮演著很大的角色。然而,隨著越來越多員工將自己的 IoT 裝置帶到公司,這些政策和程序將必須跟著  IoT 資安 情勢的演變而調整。由於 BYOD 實施了就無法再回頭,因此企業必須適時調整自己的 BYOD 方案。針對這點,以下提出一些我們建議的最佳實務原則來減少 BYOD 環境當中的 IoT 裝置最常遇到的風險和威脅。

[延伸閱讀:影響企業最大的五個惡意程式與企業經常忽略的 10 個網路資安風險]

漏洞

駭客一向善於利用裝置的漏洞來發動攻擊,IoT 裝置也不例外。其實,近年來一些登上媒體版面並且對企業造成重大損失的 IoT 裝置 資安事件 都是因為漏洞攻擊所引起。很多時候,這些事件所牽涉到的漏洞其實早已有相關的修補更新可套用。事實上,未套用修補更新是企業必須正視的問題,尤其,駭客能利用這些漏洞進一步在企業內四處遊走,從被駭的裝置入侵企業網路和資產。

最佳實務原則:企業應制定一套登記程序,讓員工先向 IT 和資安部門登記之後,才能將裝置連上公司網路。登記時,必須記載所有相關的裝置與系統資訊,並妥善做好裝置的安全設定以及其他重要步驟。此外也建議企業應不斷提升員工的資安意識,提醒他們隨時安裝裝置廠商提供的最新修補更新。

[延伸閱讀:映對未來:對抗無所不在的持續性威脅]

駭客

員工帶到 BYOD 環境中使用的 IoT 裝置 (不論智慧手錶健康手環智慧喇叭、智慧瑜珈墊等等),多多少少都會連續使用一陣子。但這樣就能讓駭客利用裝置的某些功能來滲透企業網路,尤其是這些裝置的安全措施一般來說都相當貧乏。駭客一旦滲透企業網路,就能從事各種惡意活動,例如:掃描裝置是否有其他漏洞、竊聽網路來蒐集資料、竊取系統上的資訊、駭入伺服器系統、將裝置收編到殭屍網路等等。

最佳實務原則:鼓勵員工熟悉自己的 IoT 裝置功能,尤其是一些隱藏版功能或元件。此外,除了要求員工確實向公司登記個人裝置之外,企業也應架設一個獨立於營運網路之外的網路來讓這些裝置上網。同時,採用一套多層式資安防護 ,從網路到端點全面偵測、攔截惡意活動也很重要。

 [延伸閱讀:]
行動威脅情勢
亞馬遜 Alexa 語音助理可能成為竊聽器?!

加油站使用預設密碼,被偷走 12 萬公升汽油


BYOD 環境日益普及的 IoT 裝置所帶來的風險和威脅。

針對性攻擊

簡單上網搜尋一下就能發現各式各樣的裝置都暴露在網際網路上,如: 智慧手錶與智慧喇叭,以及其他可能也暴露在外的相關系統。這一點相當令人擔憂,原因是駭客向來專挑暴露在外的裝置下手,他們會蒐集裝置的資訊、評估裝置和系統是否有可用的漏洞,好方便他們策劃一場針對性攻擊。駭客只要隨便在網路上搜尋一下,就能利用各種技巧來滲透目標企業的網路和資產,進而造成企業損失。

最佳實務原則:企業應善用 Shodan 和 WhatsMyIP 這類的網站和服務來掃描自己的網路是否有暴露在外的裝置、連接埠及其他歹徒可利用的漏洞。而掃描到的資安缺口也應採取必要措施來加以彌補。不但如此,企業還應該實施資安意識提升計畫和教育訓練來倡導安全優先的觀念,並採取預防措施以防止裝置暴露在外。

[延伸閱讀:How attackers are abusing high-profile users and executives]

資料外洩

智慧型手錶與一般手錶一樣可能會遺失或失竊,但差別在於,遺失智慧型手錶有資訊或資料外洩的風險,其中可能含有儲存在電子郵件或記事本應用程式當中的企業敏感資訊,尤其是攜帶到 BYOD 環境中使用的智慧手錶。裝置遺失或失竊是 BYOD 重要的資安疑慮之一,因為它們可能含有一些歹徒可用於從事破壞或間諜活動的資料或資訊。一些大型的資料外洩事件,經常都是因為裝置遺失或失竊 (包括不小心洩漏) 所引起,所以這是企業導入 BYOD 的一項重要隱憂。根據  2012 年趨勢科技一份調查發現,那些允許員工將個人裝置連上公司網路的受訪企業有半數曾經發生 某種形式的資料外洩

最佳實務原則:IT 和資安團隊應列出他們建議啟用的裝置安全設定,並定期檢查網路存取權限與儲存設定。藉由這樣的程序逐一檢查並自訂公司的資安設定,根據業務的需求實施更嚴格的資訊存取控管,尤其必須考量 遵守 法規 與資料隱私保護相關的國際規範要求。企業應鼓勵員工主動告知 IT 和資安團隊他們攜帶了什麼裝置到工作場所使用,並盡可能開啟裝置上的多重驗證與資料加密功能。此外,當員工裝置不小心遺失或失竊時,應立即通知 IT 和資安團隊。這除了能夠強化資安團隊監控、偵測、攔截威脅與攻擊的能力、不讓它們進入企業之外,也有助於迅速判斷試圖入侵的威脅類型、控制遺失或失竊的衝擊,並且找出攻擊確切使用的裝置。

[延伸閱讀:Uncovering the truth about corporate IoT security]

培養良好的資安文化,對於員工個人裝置與公司資產並存的環境來說尤其重要。隨著消費型 IoT 裝置在工作場所日益普及,資安文化就更加重要。因此,企業應重新評估自己的 BYOD 政策,重新培養 BYOD 環境的資安意識。企業或員工都責無旁貸的一件事就是:因應持續不斷成長的 IoT 潮流,從觀念到實踐,將資安意識整合到 BYOD 的政策及管理程序當中。

原文出處:IoT Devices in the Workplace:Security Risks and Threats to BYOD Environments