2018年03月14日 | 物联网即将全面改变网络安全

网络安全可能会让组织很头痛。2016年，资料外泄让企业付出了大约40亿美元的代价，平均每次事件外泄了24,000份纪录。2017年，数据外泄的数量预期将会成长36%。持续不断的威胁和攻击已经变成主流，因此在2018年，企业预计将投资超过930亿美元在网络防卫上。甚至美国国会也加速通过法律，希望能够改善这种情况。

虽然网络安全市场的支出和创新都日益增加，但所有迹象都显示，情况只会继续恶化。每天链接上网络的未受管理装置，数量正大幅增加， Gartner预测，到了2020年，使用未受管理的装置数量会高达200亿个。传统的安全解决方案将无法有效处理这些装置，也无法保护它们免于受到黑客攻击，这应该是警讯，因为2017年上半年，物联网(IoT)设备受到的攻击就增加了280%。其实，Gartner公司预计，到了2020年会有三分之一的黑客攻击目标是物联网和影子信息科技(shadow IT;编按：这是指公司人员在内部建置使用、但未经公司正式核准使用的信息系统)。

这种新的威胁局面，正在改变网络安全的攻守情势。高阶主管若是准备运用他们一直以来采取的相同心态和工具，来处理未来网络安全的挑战，将会面临持续失败。

网络安全训练的错误万灵药

对于网络安全与认知训练的成效，目前有许多争论主要集中在两项相互竞争的观点上：人类可能是安全链当中最有效或是最薄弱的环节。但不可否认的是，随着社群工程攻击(social-engineering attack)增加和愈来愈多未受管理的装置，仰赖以人为基础的策略是否有成效，实在令人怀疑。如果你考虑到像PhishMe这类安全服务供货商最近公布的报告，这个说法就更有道理了;那份报告指出，80%已经完成网络安全训练的员工，仍然容易受到网络钓鱼的攻击。

只要点击一下连结，就会导致下载WannaCry和Petya这类恶意软件，引发一连串的全球网络安全事件。单是这个例子，应该就可视为一项绝对的证据，证明人们一直都会是企业防卫的弱点所在。

连结第一，安全第二

目前，企业员工正在使用链接装置，来推动能创造获利的活动。它们的实用与便利，为物联网设备在企业里建立了立足点，包括在办公室、医院、发电厂、制造工厂等许多地方。我们最近发现，我们82%的企业客户都在使用智能语音助理“亚马逊Echo”，而且几乎都是在高阶主管办公室里。这类装置是设计来聆听和传递信息，可能可以提高生产力，但也会带来无法量化的风险。我们最近的研究显示，亚马逊Echo容易受到隔空攻击。亚马逊已经修补了这些漏洞，可是这项发现显示，易受攻击的设备是多么容易导致机密信息外泄。

链接装置成长的速度飞快，信息科技部门和网络安全团队都跟不上。链接装置的制造很少受到监督或法规控管，而且都具备Wi-Fi和蓝牙功能，可以立刻链接。把它们引进到企业环境中的人，是不具备真正安全知识或专业技能的个人使用者，这是一大风险。用户可能考虑到生产力目标，但你根本无法指望员工会在可接受的安全准则范围内，使用链接装置。物联网的训练和认知计划，绝对没有帮助，那么，正确答案是什么?

重塑人与安全的关系

现在该是时候减轻你的相关人员(员工、合作伙伴和顾客等)的网络安全重担了。持续实施安全认知计划，可能是审慎且必要的做法，但如果你希望有任何成功的机会，就必须更仰赖智慧科技和自动化。

若要排除人为风险，表示你必须调整你对于员工、链接装置和企业整体网络防卫之间关系的看法。你必须接受这个想法：物联网和其他安全问题并不是使用者互动的问题，而是装置和系统的互动问题。物联网装置的特性就是“紧密连结”，这表示它们持续处在通讯的状态，能够散布恶意软件，而且不必与人互动就能够在系统之间迅速转换，这些全都超出了目前安全解决方案的处理范围。网络安全威胁正在跟你的工作人员相互较量：员工仍然受到自动网络钓鱼电邮的攻击，而拥有大量网络安全分析人员的组织，根本无法管理新的链接装置和软件中出现的众多安全漏洞。新的物联网攻击途径(attack vector，或称“攻击向量”)出现的速度，比它们能够被处理的速度还要更快;这类攻击的例子像是BlueBorne和KRACK，它们会在人们周遭感染各种装置和网络。

智能网络安全系统

为了管理目前的网络安全，你的系统必须具备智能，能够在没有人为监督的情况下运作，知道何时应采取主动或防御的行动，以及如何采取这类行动。

至于链接装置，未来在企业中使用的数量会非常大，因此不可能让员工自己或者人员不足的信息科技部门和安全团队，自行分辨和停止有风险的活动。若要能辨识出具有威胁性的装置和行为模式，你的物联网安全系统就必须要具备足够智慧，能够做到下列事项：发现所有的链接装置，以及它们引进的安全漏洞;批准和拒绝网络的权限;从不断演变的情况中学习，以便经过一段时间之后变得更有成效。

智能产品能够学习，了解链接装置上安全和不安全的活动样貌的模式;若只是检视手机、喇叭或网络摄影机，是无法辨识那些模式的。我曾经看过被黑客入侵的平板计算机把影像从董事会的会议室里，传输到某个未公开的位置。那个平板计算机并未显现出被骇的迹象，既有的传统安全解决方案也没有发现这项活动。只有透过辨识它的行为和传输模式，我们才能够看出这个风险。智能系统就能够立即辨识出这种可疑的讯息传输行为。

最后，智能系统能够采取行动。一旦系统学会如何辨识可疑行为，就能够立即停止某项装置被恶意使用。例如，它可以完全关闭殭尸网络(botnet)的攻击，防止它链接其他装置，或是限制它能够造成的损害。如果你能够控制链接装置，就可以维持只有一个装置被感染，而不会让整个网络都被黑客接管，这两种情况的后果非常不一样。

设计来防卫其他威胁的安全科技也是如此。无法自行辨识和阻挡攻击的反网络钓鱼技术，基本上迟早都会碰到灾难。手动修补流程也没有什么价值。

新的现实

企业受到的攻击来自所有方向，透过所有管道，而物联网创造了更庞大的攻击面。高阶主管要为绩效负责，或者说为缺乏安全绩效负责，而企业则会面临一连串的后果，从品牌损失、恢复原状的成本，一直到资料外泄导致顾客流失。目前，保护你的系统和网络所牵涉到的风险，比过去更高，而新的物联网现实情况，又让事情更加复杂。我们过去仰赖的解决方案，例如训练员工，无法减少企业面临的庞大安全挑战。物联网的影响范围过于复杂，传统的安全团队很难用旧有的解决方案来管理。现在正是时候，应该将员工从讨论中排除，迈向更有智慧、也更安全的未来。