目录:
可穿戴设备是2014年定义的技术趋势之一,很可能会在2015年底再次入围。Apple Watch是每个人都关注的设备,但还有许多其他竞争对手。 微软有一个新的健身乐队。 豪雅(TAG Heuer)正在创造一款智能手表。 研究公司IDC预测,今年可穿戴设备的出货量将达到4570万,比2014年增长230%以上。
但是,在消费者和技术记者等待这些设备的同时,公司的IT部门仍对它们保持警惕。 他们面临的关键问题之一是这些设备将如何影响工作场所。 它们是无害的,还是几乎无形的安全威胁在等待关闭网络?
最弱的一环
自2007年智能手机开始普及以来,企业一直在应对消费产品的大量涌入。在某些方面,可穿戴设备是这种趋势的延伸。 健身跟踪设备(例如Fitbit或Jawbone UP)依赖于智能手机进行配对和卸载。 甚至更复杂的设备(如Apple Watch)也要依靠智能手机来完成任何密集的处理任务或GPS导航等功能。
但是,这些设备确实构成了威胁,并且公司不能依靠现有的BYOD策略来保护自己的安全。
可穿戴设备与智能手机紧密通信,并且可以间接访问这些手机所连接的网络。 由于当前的可穿戴设备缺少智能手机中的安全功能,因此这使它们成为系统中的所谓“弱链接”。 如果黑客可以破坏智能手表的安全性,那么他们就有可能也可以访问您的公司网络。 使用多因素身份验证进行网络访问是防止这种情况的一种方法。
可穿戴设备的设计也会破坏安全性。 大多数可穿戴设备的屏幕空间有限(或没有屏幕空间),并且会通过振动和敲击进行通信。 这使消费者可以轻松地将其设备与手机配对。 它还可以轻松诱使用户将其设备与未知的第三方配对。 在最近的一项实验中,卡巴斯基实验室的一位研究人员发现,许多智能频段都允许第三方设备与其连接,并且在某些情况下还可以提取数据。 如果没有屏幕或清晰的方法来确定正试图与智能手环配对的内容,则用户可以轻按其设备以确认其请求,前提是该请求无害。 对员工进行适当的安全协议教育是防止此类攻击的最佳方法。
有限硬件的优势
对于IT部门来说,好消息是,即使黑客获得了可穿戴设备的访问权限,但那里通常没有多少东西。 当前大多数设备仅收集少量指标,例如步数或活动模式。 许多设备每隔几个小时就会将其数据卸载到云中,以释放更多空间。 这意味着,黑客会诱使用户与第三方设备配对,从而可能只会获得几个小时的步骤计数。
智能手表是黑客潜在的榨汁机目标-但风险仍然相对较低。 可穿戴设备和手机之间的大多数通信都是通过蓝牙进行的。 它使用六位数的PIN加密。 可以使用蛮力方法破解此PIN,但黑客必须与设备非常接近。 断开通信通道后,他们可以看到设备之间发送的纯文本通信。 即使这样,除非您的公司正在研究机密信息(并且将可穿戴设备用于数据收集或其他目的),否则黑客不可能从中获得太多收益,即使是在企业间谍活动中也是如此。
由于当前硬件的限制,存在这些安全措施。 随着可穿戴设备的功能越来越强大,黑客将获得更多收益,并给企业带来更大的后果。 可穿戴设备的低调使其难以为IT部门严格监管,这意味着对员工进行适当的预防措施和安全措施的培训应作为优先事项。 随着技术的分散化,工作与个人设备之间的界线进一步模糊,企业网络将仅以其最薄弱的环节为坚强。
