企業(yè)物聯(lián)網(wǎng)的身份管理問(wèn)題如何來(lái)解決

物聯(lián)網(wǎng)（IOT）包括越來(lái)越多的連網(wǎng)設(shè)備，從安全攝像頭到智能恒溫器。許多企業(yè)使用企業(yè)級(jí)物聯(lián)網(wǎng)設(shè)備來(lái)幫助員工更高效地完成工作，或幫助滿足設(shè)施管理需求。但是，企業(yè)物聯(lián)網(wǎng)還有一個(gè)不足之處——身份管理。

身份管理也稱為身份和訪問(wèn)管理（IAM），它確保正確的人能夠訪問(wèn)完成工作所需的系統(tǒng)和信息。但是，物聯(lián)網(wǎng)的一個(gè)普遍問(wèn)題是，許多相關(guān)技術(shù)的構(gòu)建都沒(méi)有考慮到身份管理。

憑證濫用已成問(wèn)題

當(dāng)人們?cè)噲D通過(guò)繞過(guò)現(xiàn)有訪問(wèn)控制系統(tǒng)來(lái)訪問(wèn)或成功訪問(wèn)系統(tǒng)時(shí)，就會(huì)發(fā)生憑據(jù)濫用。有時(shí)候，當(dāng)人們無(wú)意中做了一些事情來(lái)幫助同事時(shí)，就會(huì)發(fā)生這種情況，比如與同事共享密碼以避免在等待IT部門給他們密碼時(shí)出現(xiàn)工作延誤。

但是，在其他情況下，惡意意圖是驅(qū)動(dòng)因素，人們利用身份管理的不足來(lái)獲取不應(yīng)該擁有的訪問(wèn)權(quán)限。最近發(fā)布的BeyondTrust全球調(diào)查發(fā)現(xiàn)，64%的受訪者認(rèn)為，由于員工濫用訪問(wèn)權(quán)限，他們有過(guò)直接或間接的違規(guī)行為。

然后，為了將此討論帶到物聯(lián)網(wǎng)，我們必須認(rèn)識(shí)到許多物聯(lián)網(wǎng)設(shè)備并不具備企業(yè)級(jí)所需的強(qiáng)大密碼管理。據(jù)ABI Research公司的一份報(bào)告顯示，到2022年，與身份管理相關(guān)的物聯(lián)網(wǎng)設(shè)備收入可能達(dá)到215億美元。

某些物聯(lián)網(wǎng)設(shè)備具有默認(rèn)密碼

身份管理和物聯(lián)網(wǎng)設(shè)備的一個(gè)已知問(wèn)題是，其中一些設(shè)備帶有默認(rèn)密碼，用戶應(yīng)該更改這些密碼，但他們從來(lái)不會(huì)更改。Positive Technologies的調(diào)查結(jié)果顯示，大約15%的設(shè)備密碼從未更改過(guò)默認(rèn)值。

此外，當(dāng)人們使用慣用的用戶名/密碼組合時(shí)，也會(huì)出現(xiàn)問(wèn)題。更具體地說(shuō)，PosiTIve Technologies的研究表明，使用五個(gè)最受歡迎的這種組合可以訪問(wèn)十分之一的設(shè)備。

值得肯定的是，使用默認(rèn)密碼將很快成為過(guò)去。加州立法者通過(guò)了一項(xiàng)法律，該法律將于2020年1月1日生效，要求所有連網(wǎng)設(shè)備在加州銷售或生產(chǎn)時(shí)必須帶有唯一的密碼。

這是朝著正確方向邁出的一步，特別是考慮到大多數(shù)公司可能不會(huì)僅為加州創(chuàng)建一些設(shè)備。但是，如果企業(yè)中的每個(gè)人都知道設(shè)備的專有密碼并使用它，那么身份管理仍然不起作用?？赡苡行┤瞬粦?yīng)該訪問(wèn)物聯(lián)網(wǎng)設(shè)備，但是通過(guò)知道密碼并使用它，他們就擁有了不必要的特權(quán)。

私人虛擬助理總是在監(jiān)聽(tīng)

與物聯(lián)網(wǎng)設(shè)備和IAM相關(guān)的另一個(gè)問(wèn)題是，大多數(shù)帶有個(gè)人助理組件的物聯(lián)網(wǎng)設(shè)備總是在監(jiān)聽(tīng)它們的喚醒詞。然而，一些銷售這些產(chǎn)品的公司并不清楚他們?nèi)绾问褂檬占降男畔?。因此，人們有理由?dān)心物聯(lián)網(wǎng)設(shè)備中的虛擬個(gè)人助理可能會(huì)無(wú)意中泄露公司和個(gè)人機(jī)密信息。

當(dāng)法院要求Amazon Echo智能揚(yáng)聲器為2015年謀殺案提供數(shù)據(jù)時(shí)，物聯(lián)網(wǎng)設(shè)備的潛在企業(yè)安全風(fēng)險(xiǎn)再次成為人們關(guān)注的焦點(diǎn)。分析人士指出，在有關(guān)企業(yè)的民事案件中，企業(yè)擁有的所有數(shù)據(jù)都可能成為法庭要求查看的證據(jù)——包括智能揚(yáng)聲器等物聯(lián)網(wǎng)設(shè)備包含的任何信息。

因此，再回到IAM的問(wèn)題上，始終在線的物聯(lián)網(wǎng)設(shè)備的工作方式意味著，任何被授權(quán)在工作中使用物聯(lián)網(wǎng)設(shè)備的各方都應(yīng)該接受培訓(xùn)，以避免在任何安裝有物聯(lián)網(wǎng)設(shè)備的房間里討論敏感的公司信息。這是因?yàn)榧词刮锫?lián)網(wǎng)設(shè)備被適當(dāng)鎖定，只有授權(quán)的人才能使用，但該設(shè)備仍然可以記錄機(jī)密信息。

迎接挑戰(zhàn)

一些公司已經(jīng)認(rèn)識(shí)到物聯(lián)網(wǎng)設(shè)備所帶來(lái)的身份管理問(wèn)題，并且擁有解決這一安全漏洞的技術(shù)。其中之一是Aerohive，它有一款產(chǎn)品叫做Aerohive A3，該產(chǎn)品具有識(shí)別公司網(wǎng)絡(luò)中所有物聯(lián)網(wǎng)設(shè)備并為這些設(shè)備分配適當(dāng)訪問(wèn)控制的功能。

Aerohive產(chǎn)品中有多種訪問(wèn)控制，公司可以通過(guò)調(diào)整來(lái)滿足需求。此外，解決方案非常適合需要對(duì)物聯(lián)網(wǎng)設(shè)備進(jìn)行短期網(wǎng)絡(luò)訪問(wèn)的用戶。

重新思考物聯(lián)網(wǎng)時(shí)代的身份管理

身份管理（IAM）的傳統(tǒng)觀點(diǎn)是，它與某些人是否可以訪問(wèn)特定資源有關(guān)。這一點(diǎn)現(xiàn)在仍然適用，特別是對(duì)控制物聯(lián)網(wǎng)設(shè)備的接口的訪問(wèn)。（來(lái)源：物聯(lián)之家iothome）

一家公司可能不會(huì)給一個(gè)有過(guò)可疑行為的人提供訪問(wèn)權(quán)限，相反，這個(gè)人必須證明自己有資格獲得更多訪問(wèn)權(quán)限，并且可以通過(guò)長(zhǎng)期觀察他們的可靠性和可信度來(lái)做到這一點(diǎn)。

同樣，公司不應(yīng)該假設(shè)企業(yè)級(jí)物聯(lián)網(wǎng)設(shè)備沒(méi)有安全漏洞。在這種情況下，身份管理意味著在允許網(wǎng)絡(luò)訪問(wèn)之前審查物聯(lián)網(wǎng)設(shè)備是否存在問(wèn)題。換句話說(shuō)，公司將企業(yè)物聯(lián)網(wǎng)設(shè)備視為未經(jīng)證實(shí)的人。

這樣，物聯(lián)網(wǎng)設(shè)備或使用它的人對(duì)公司構(gòu)成危險(xiǎn)的可能性就會(huì)降低，并且在使用過(guò)程中注意身份管理將有助于確保公司不會(huì)使訪問(wèn)控制失效。