远程办公导致企业网络被黑？请注意这三点

2024-10-31

如今，网络攻击者只需透过小型的物联网设备，就能找到企业网络的入口，以发起勒索软件等攻击。根据Palo Alto Networks对IT决策者进行的一项调研显示，84%的中国大陆受访者表示，过去一年连接到企业网络上的非商业设备有所增加。在今年的研究中，智慧灯泡、心率监测器、联网运动装置、咖啡机、游戏机，甚至是宠物喂食器等“奇怪”设备都出现在了网络设备列表上。

越来越多的设备联网让安全威胁频出。今年3月，黑客入侵了一家位于硅谷的安全设备厂商，盗取了15万个摄像头拍摄的实时视频。同样是在年初，Palo Alto Networks对13.5万个安全摄像头进行了检查，发现54%的摄像头至少有1个安全漏洞，黑客利用这些漏洞可以完全控制、操控这些摄像头，以此为跳板进入企业网络发动攻击。此外，大部分家庭使用的路由器也普遍存在安全漏洞，黑客很容易通过这些设备进入家庭网络，利用薄弱的家庭和办公设备发起勒索攻击。

连续两年的调查结果显示，企业必须改善网络安全措施，以保护企业网络免受非商业物联网设备带来的风险。今年的研究中，100%的中国大陆受访者都认为其组织的物联网安全保护方法需要改进，27%的受访者则表示需要彻底改革。其中，对风险评估(70%)、提供给安全团队的物联网设备上下文(64%)、装备可见性和库存(62%)以及政策执行和零信任控制(62%)等方面需求最大。

随着更多的员工以个人为单位使用智能音箱、穿戴设备、智能家居等产品，安全风险的入口也越来越多，而且像工业类企业用到的传感器也越来越细分，包括具有WiFi功能的恒温器控制的采暖通风和HVAC系统等等，这些传感器在接入核心网的时候很可能没有经过IT运维团队的授权。一项调查显示，大多数企业并没有觉察到物联网或工业物联网的无线网络，与企业基础设施是分离的。

当物联网时代的传感器变得无处不在，黑客利用IP摄像头等端口寻找到的潜在目标类型五花八门，例如会盯上一些没有密码或弱密码的网络打印机。更可怕的是，这些威胁很难让人感知到，这些攻击的特点是规模小，可以逃过安全网络的监控，直接进入到系统后端，但不会在短期内造成严重影响。不过一旦把时间线拉长，这些漏洞就会演变成为多维攻击造成更严重的后果。

值得注意的是，在今年所有受访的中国大陆IT决策者中，有35%表示其物联网设备连接的网络与所属企业主要设备及业务应用(如人力资源系统、电邮服务器、财务系统)的网络各自独立运作。44%受访者遵循了最佳实践——网络微分段(Microsegmentation)，在网络中创建的严格控制之安全区域，以隔离物联网设备并将它们与IT设备分开，防止黑客在网络上横向移动进行攻击。

在部署物联网设施的过程中，企业通常无法控制这些智能连接设备所使用的软硬件来源与品质。存在于不同IT环境中的联网设备，多数是由不同厂商“组装”起来的，硬件、软件、组件的提供方都不一样。这种情况造成的困境之一是，有时候芯片升级了可对应的软件升级并没有赶上，而安全补丁更新的时候组件又不支持。这也就是为什么，有的物联网安全厂商会在一开始就希望将安全解决方案整合到一个平台中，而不是之后不断的打补丁。

预测性防护，也是工业类客户常用的一项措施。例如蒂森克虏伯用物联网技术把全球近110万部电梯的数据全部采集集中到云平台上。比如这部电梯可以每天走了多少次、每次载重情况，每次行程过程中的各种部件参数，都可以实时采集，并用来进行机器学习。像Schindler也在与GE Predix平台合作，对物联网环境进行预知防护，但一个问题是，这些客户逐渐发现这类投入导致ROI并不想理想，至少从时间上看是这样。

理想状况下，新加入的物联网设备和工业设备应该通过专有的控制器来连接网络，配置唯一对应的识别码。对于那些不合法的设备，数据是不能传输给它们的。当然这里指的识别码不是MAC或者OUI，这些在多类型设备部署在不同环境时并没有专有性。

当然物联网厂商也没有放弃对安全性的尝试，除了硬件加密，算法加密也是常被用到的安全手段。相信安全人员对于哈希函数并不陌生，其单向不可逆的特性使得对方难以从哈希值来推断出原始密码。当存有密码信息的哈希值放进数据库后，用户在登录系统时可以比对输入值是否与库中的哈希值相同。然而，难破解不等于无解，字典攻击和暴力攻击是常用于攻破哈希算法的手段，人们能做的只是降低系统被攻击的频率和效率。

根据Palo Alto Networks的观察，工远程办公给企业带来的安全挑战可以总结为三个层面：