ÄR IoT-enheter som riskerar din organisation?

I kontoren för dagens små och medelstora företag kan du hitta en mängd olika smarta enheter, som skrivare, kameror, nyhetssensorer och dörrlås, som alla kan kommunicera med andra enheter via trådlösa anslutningar. Även personalbrottrummet börjar dra nytta av nästa generations teknik, som smarta kylskåp och smarta kaffebryggare. Även om internet av saker (IoT) har inverterat en mängd effektivitet genom anslutning, har den också skapat miljontals av nya attackytor på grund av svag säkerhetsdesign eller administrativ praxis. Inte bara enheter har själva attackerats och äventyras, hackare har använt enheterna gemensamt i botnät för att starta utdelade DDOS-attacker mot webbplatser och företagsnätverk. Krebs on Security-webbplats, till exempel, var en av de mest kraftfulla attackerna till dags dato, där Mirai malware "zombie-ized" en uppsjö av IoT-enheter anslutna till internet som körde fabriksinställda användarnamn och lösenord.

Säkerhetsrisker med IoT-utrustning

Många IoT-enheter konstruerades inte med stark konfigurerbar säkerhet. Vissa enheter har ett hårdkodat lösenord som inte kan ändras utan en firmwareuppdatering, som kanske inte är tillgänglig eftersom leverantören helt enkelt inte har skapat det eller produkten inte längre stöds. Ett annat potentiellt problem är malwareinfektion av appar som styr IoT-enheter.

David Britton, vice vd för industrilösningar, bedrägeri och identitet hos Experian, varnar för att Universal Plug and Play (UPnP) är ett relaterat problem, särskilt när det gäller trådlösa routrar.

"Flera routrar stöder denna automatisk kopplingsfunktion, och vissa har UPnP aktiverat som standard," sade Britton. "UPnP tillåter enheter att genast igenkänna och ansluta till ett nätverk och till och med etablera kommunikationer med andra enheter i nätverket utan någon mänsklig intervention eller konfiguration. Utmaningen från ett säkerhetsperspektiv är att det är sikt eller kontroll övervakad till administratören när de här enheterna kommer online, eller vilka säkerhetsbehörigheter de kan påkalla. "

Britton påpekar också att den olika uppsättningen teknologier och anslutningsprotokoll som används av IoT-enheter, som Wi-Fi, Bluetooth, RFID och ZigBee, presenterar en ytterligare lager av komplexitet. Varje typ av anslutning levereras med olika säkerhetsnivåer och olika administrativa verktyg. För små butiker som inte har tekniskt stöd internt, är det svårt att försöka hålla sig överallt, vilket gör dem ännu mer utsatta för attack.

Sätt att kontrollera hot och minska riskerna

Så, Vad är lösningen på IoT-säkerhetsdebatten?

Johannes Ullrich, forskningsansvarig på SANS Technology Institute, säger att "organisationer måste börja med att kontrollera förvärv och inventarier av IoT-enheter." I sin SANS Internet Storm Center artikel beskriver Ullrich relevanta frågor att fråga leverantörer under produktutvärderingsfasen om hur lång tid säljaren planerar att släppa säkerhetsuppdateringar och hur säljaren implementerar kryptering.

Britton anser att en omfattande inventering är viktig även om det skulle spåra firmwareversioner, datum för senaste uppdatering, portar som används av IoT-enheter och den sista dagen när lösenord uppdaterades, bland annat. Han rekommenderar också att du ställer in en återkommande uppgift i din kalender för att uppdatera, ändra och verifiera livslängden för IoT-enheter för att undvika säkerhetsproblem som är förknippade med äldre enheter.

Både Ullrich och Britton anser att det är viktigt att ändra standardlösenordet på varje IoT-enhet innan den ansluts till ett nätverk. En enhet som saknar tillräcklig säkerhet kan öppna en dörr i ditt nätverk, vilket en hacker kan utnyttja på några sekunder och fortsätt för att komma åt andra anslutna enheter.

De rekommenderar att du får stark säkerhet över alla Wi-Fi-nätverk, vilket innebär att du kan hantera starka router- och nätverkslösenord, använda kryptering och begränsa nätverksåtkomst (från internet när det är möjligt) via en brandvägg. För trådlösa routrar säger Britton att deaktivera UPnP-konfigurationen på routern för att undvika oönskade anslutningar. Om en IoT-enhet stöder tvåfaktorsautentisering, utnyttja den. Det kan vara så enkelt att få en kod som måste anges när du loggar in på enheten, vilket lägger till ett annat skyddslag.

Våra källor rekommenderade också att vara vaksamma när det gäller hantering av installerade program. Ladda ner program endast från välrenommerade leverantörer eller de som skapats av betrodda enheter, och kör aktuell anti-malware-programvara på IoT-enheter eller de som används för att konfigurera IoT-enheter.

Slutligen göra varningar och meddelanden och testa och verifiera, en del av din bästa praxis checklista. Ullrich rekommenderar att du anmäler dig till varje leverantör för att bli underrättad när patchar släpps och att du installerar system som varnar dig om en obehörig enhet är ansluten till ditt nätverk. På testfronten, var noga med att testa enheter som ansluter till en leverantörs molntjänster för att säkerställa att de skyddar data tillräckligt. Ta reda på hur enheten autentiserar till leverantörens system och om data är ordentligt krypterad - den ska använda protokollet Transport Layer Security (TLS) för överföringar.

För mer information om cybersäkerhet, besök vår Mobby Business Guide.

Ska du kontrollera en sökandes kredithistorik?

Tidigare i månaden träffade jag en rekryterare om en oberoende kontraktsuppgift på en prestigefylld bank i staden. I slutet av intervjun berättade rekryteraren mig att han skulle kolla min kriminella bakgrundshistoria. Han frågade mig om det var OK att kolla min kredit. Jag lärde mig senare att kreditkontrollen var standard för finansbranschen.

(Företag)

Staten för småföretag: Connecticut

Som ett led i vårt årliga projekt "Småföretaget", Mobby Business planerar att rapportera om småföretagsklimatet i alla stater i Amerika. I denna avgång frågade vi några av Connecticuts cirka 350 000 småföretagare om utmaningarna och möjligheterna att fungera i deras stat. Här är vad de hade att säga.

(Företag)