我想可以肯定地说,我们普遍对科技感到高兴。 只需引入技术,平凡的事情就变成了神奇的事情。 当然,新鲜感会在一段时间后消失,但到那时,有一些其他任务可以通过设备或手机控制,然后循环再次开始。
现实情况是,大多数人并不像 IT 管理系统那样管理他们的(日益增多的)设备。 甚至 IT 人员也不例外。 还记得Tripwire 调查发现“30% 的 IT 专业人士和 46% 的受访员工甚至不会更改其无线路由器的默认密码”吗? 这一数字略高于一项研究发现,“40% 的美国人表示他们太懒,觉得太不方便,或者他们并不真正关心...”5 是否遵循基本的安全建议。
因此,当受到安全专家的追捕和行业媒体的猛烈攻击时,至少面向消费者的物联网制造商似乎正在加强他们的行动,这应该不足为奇。 自动更新、补丁和热修复可以通过复选框简单定期传输到连接的设备。
至少,消费者将控制权交给了承诺保护其设备免受攻击者攻击的制造商。
现在,这就是消费者领域。 到目前为止,这种行为似乎在企业中是被禁止的,即使涉及物联网设备也是如此。 在可预见的未来,企业肯定会继续对这些事情保持控制。 毕竟,更新失败的影响半径在数据中心内部是相当大的。
但这无法扩展,而且我们从自己的研究和对 Shodan.io 的观察中充分了解到,组织内部相当大比例的物联网设备不仅暴露在互联网中,而且存在漏洞。
如果它们存在漏洞,那就意味着应该(可能有?)有可用的补丁。 然而,如果这两种情况都是真的,那么我们难道不会看到更少的设备可以作为物联网机器人来招募吗?
根据 IDC 两年前的一项研究,补丁、更新和安装占用了普通 IT 员工一周 20.7% 的时间,因此,即使采用自动化,他们似乎也不可能扩大规模来管理预计在未来两年内翻倍的设备数量(从现在的 9259 台增加到 18631 台)。
那么该做什么生意呢?
我们必须回答的问题是,我们是否鼓励制造商坚持下去并自动更新企业内部的设备? 因为如果不承认补丁疲劳和缺少工作人员可能从一开始就阻碍了这些补丁的应用,那么责怪他们是有点不公平的。 正如Tripwire 的其他一些有趣的研究指出的那样,“ 2015 年,共分配了超过 6,000 个新的 CVE。 如果这些漏洞中只有十分之一影响到您负责范围内的设备,那么您每年就需要负责解决 630 个漏洞,或者每个工作日解决 2.5 个漏洞。 ”
有很多漏洞需要解决。 很多,补丁数量匹配。
遗憾的是,补丁发布后并不意味着可以立即应用。 Tripwire 调查指出,“影响补丁部署所需时间的一个关键因素是测试。 受访者被问及是否在部署之前测试过补丁,47% 的人说他们对台式机进行了测试,55% 的人说他们对服务器进行了测试。” 当您深入了解将安全补丁投入生产实际需要多长时间时,您会发现一些令人震惊的数据。 也就是说,93% 的受访者在不到一个月的时间内就测试并部署了安全补丁。
考虑到典型的中型到大型企业所处理的系统数量及其相应的漏洞,这还不算太糟糕。
但请想一想,当CVE-2017-8225 (影响一家中国 IP 摄像机制造商)宣布后,不到两个月的时间,超过 600,000 台摄像机就感染了 Persirai 。 也就是说每天有 10,000 台设备。 这意味着一个月太长了。 而这只是一个弱点。
随着物联网以更多的传感器和监视器的形式侵入企业,以及谁知道哪些是可访问的且往往是脆弱的,IT 如何跟上? 能 即使有自动化,它能跟上吗?
所以我的真正问题是,你会吗? 如果制造商加大力度并承担起维护其设备安全更多的责任,你会放弃对物联网设备的控制权吗(我知道这是一个很大的如果,但为了发现,请顺其自然)?
您可以在这里回答该问题(并看看您的同行怎么想) 。 来吧,发出声音!