企業(yè)網(wǎng)絡(luò)最大威脅:或?qū)碜钥纱┐髟O(shè)備
伴隨可穿戴設(shè)備的日益普及,企業(yè)員工隨時(shí)能夠?qū)⑦@些“智能”小物件帶入工作的網(wǎng)絡(luò)環(huán)境中,因此,有網(wǎng)絡(luò)安全專家提醒,構(gòu)成2015年企業(yè)網(wǎng)絡(luò)重大安全威脅的,很可能就是這些可穿戴設(shè)備。
目前許多知名IT企業(yè),包括蘋果和LG,預(yù)計(jì)都在今年開始大量鋪貨智能手表。根據(jù)市研機(jī)構(gòu)的預(yù)測,2015年將成為可穿戴產(chǎn)品出貨量的爆發(fā)期,總量或達(dá)到7500萬臺,較2014年同比增長達(dá)158%。
隨著用戶越來越多地配備上最新的可穿戴設(shè)備,利用這些產(chǎn)品收集身體數(shù)據(jù)或接聽電話會變?yōu)槌B(tài),因此,把這些設(shè)備帶到辦公室中也必將無法避免,這就為網(wǎng)絡(luò)攻擊者打開了一個(gè)全新的入侵途徑。
安全專家表示,當(dāng)人們對可穿戴設(shè)備越來越感興趣的時(shí)候,這些產(chǎn)品最終將能通過BYOD設(shè)備間接地連接到企業(yè)網(wǎng)絡(luò)上,進(jìn)而成為企業(yè)網(wǎng)絡(luò)的新威脅。
企業(yè)將如何被侵入?
從一項(xiàng)有800名企業(yè)高級IT決策者參與的調(diào)查中發(fā)現(xiàn),近80%的歐洲公司正在目睹越來越多的員工將可穿戴設(shè)備帶進(jìn)工作場所,同時(shí)有77%的企業(yè)還積極地鼓勵(lì)他們使用可穿戴設(shè)備。
那么,這些看似無辜的小工具將會如何威脅企業(yè)的網(wǎng)絡(luò)安全呢?
由于許多可穿戴設(shè)備都能夠連接到擁有用戶工作郵箱,或其他敏感企業(yè)信息的手機(jī)上,因此一旦可穿戴設(shè)備被攻破,攻擊者便具備訪問這些數(shù)據(jù)的潛在可能了。同時(shí),鑒于消費(fèi)者們以健身目的使用這些可穿戴設(shè)備,那么諸如佩戴者的位置、心臟速率等私人信息也會有被暴露的可能。
安全專家還表示,上述數(shù)據(jù)信息還可能基于廣告推廣等目的,被轉(zhuǎn)手給第三方企業(yè),但這種轉(zhuǎn)移常常是不安全的。如果這些數(shù)據(jù)的通信是未被加密的,那么在這個(gè)過程中便可以被截獲,從而導(dǎo)致信息泄露。
上述種種,都令黑客具有訪問員工的個(gè)人信息,如電子郵件地址、姓名以及該員工所處位置的可能。之后,攻擊者便可以利用這些收集的信息,構(gòu)建一個(gè)看起來合法,但包含有惡意鏈接的電子郵件。如果用戶點(diǎn)擊了該鏈接,便為攻擊者進(jìn)入該企業(yè)網(wǎng)絡(luò)開啟了大門。
因此,在剛剛結(jié)束的CeBIT2015大展上,就有許多安全專家紛紛向這些設(shè)備制造商提出警告,以期敦促未來可穿戴設(shè)備能夠具有更好、更完善的安全性。
可穿戴設(shè)備帶來的安全挑戰(zhàn)
隨著可穿戴技術(shù)的快速發(fā)展,無論佩戴者是否知情,可穿戴設(shè)備都開始大量收集個(gè)人的私密數(shù)據(jù),而且通常是用戶并不完全清楚都有哪些數(shù)據(jù)被收集的情況下,便給予了上傳權(quán)限。
曾有可穿戴設(shè)備開發(fā)人員介紹,以可穿戴的健身設(shè)備為例,如果人們真的閱讀了相關(guān)的許可條款,意識到自己注冊的是什么服務(wù),那么他們會對自己允許一家公司對其個(gè)人數(shù)據(jù)的處理感到驚駭,但在這里用戶往往并不是真的很清楚。
不僅如此,隨著可穿戴設(shè)備漸漸進(jìn)入到工作場所、連接到企業(yè)網(wǎng)絡(luò)上,它們?yōu)镮T部門也帶來了不容忽視的安全和隱私挑戰(zhàn)。由于可穿戴設(shè)備本身就設(shè)計(jì)得很小巧、便于攜帶,IT部門不僅要確保接入企業(yè)網(wǎng)絡(luò)安全,還要考慮由可穿戴設(shè)備生成、上傳的信息安全問題。因?yàn)?,在企業(yè)環(huán)境中可能暴露或泄密的不再僅僅是個(gè)人數(shù)據(jù),而是敏感的運(yùn)營數(shù)據(jù)。
對此,美國聯(lián)邦貿(mào)易委員會(FTC)在去年春天向國會發(fā)去了一份數(shù)據(jù)報(bào)告,要求通過對可穿戴設(shè)備的規(guī)范化進(jìn)行立法,讓人們可以知道商家收集了關(guān)于其個(gè)人的哪些數(shù)據(jù)、誰在收集數(shù)據(jù)。
甚至,連可穿戴設(shè)備廠商也承認(rèn)存在相關(guān)的問題和風(fēng)險(xiǎn)。有相關(guān)人士曾透露,“如果人們確實(shí)想竊取數(shù)據(jù),其實(shí)不是那么困難。許多數(shù)據(jù)通過數(shù)據(jù)終端設(shè)備(DTE)來傳送,而DTE很快就能被攻破。系統(tǒng)并不安全,只是比較安全而已。但如果有人想放置一批藍(lán)牙探測器,他們就能探測到數(shù)據(jù)。他們只需要這么做的意愿。”