300亿IoT设备将至,2027年监管落地前企业网络安全谁担责?
连接设备监管的道路漫长而曲折,但仍有很长的路要走。在美国,联邦通信委员会(FCC)于2025年9月对负责该项目审核的私营公司展开调查后,“网络信任标志”(Cyber Trust Mark)计划陷入停滞。相比之下,欧洲在物联网保护方面进展更快,《网络弹性法案》(Cyber Resilience Act,简称CRA)已接近实施,但全面执行要到2027年底才能完成。
与此同时,设备后门和漏洞的出现速度持续超过这些法规的应对能力,尤其在勒索软件和人工智能驱动的威胁行为者日益猖獗的背景下,这一趋势尤其令人担忧。
如今,设备基准即将出台。但在此之前,企业仍需自行保障安全。这也意味着,企业管理员不应坐等数年后才出台的监管保障,而应立即解决终端安全与运营漏洞问题。
监管措施即将出台
多年来,我们一直知道,来自世界各地的廉价设备通常配备通用密码、有限的软件支持和薄弱的数据保护。但随着全球设备数量到本十年末(截至2030年)预计达到300亿台,约为2022年数据的三倍,各国政府已经意识到需要加强生产环节的安全保障。
而欧洲的提案堪称是迄今为止最全面的举措。欧盟在2024年年底通过的《网络弹性法案》(CRA),要求制造商和零售商确保产品在规划、设计、开发及维护全过程中的网络安全。当然,这并非仅是一项简单的提议,而是任何含数字组件的产品都必须提供全生命周期支持,否则将面临巨额罚款和市场准入限制。
此外,一些关键产品在进入欧盟市场前需通过第三方评估。不过,主要义务条款将于2027年12月才正式生效并开始执行。
另一方面,美国正选择采用一种面向消费者的认证标识。该认证标识与食品营养标签或能源之星标识类似,“网络信任标志”将表明这些设备符合由联邦通信委员会(FCC)和国家标准与技术研究院(NIST)设定的某些安全标准(例如,面向消费者的安全控制措施和自动更新功能)。
这一计划的意图是双重的:消费者可以区分市场上值得信赖的产品,而制造商则有动力提升设备安全性。尽管计划在2025年推出,但由于FCC正在对该项目的主导公司及其与中国潜在关联展开新调查,这一时间表现在变得不确定。与此同时,大西洋两岸的设备安全风险都在加速上升。
威胁形势日益严峻
遗憾的是,无论企业规模大小,设备安全风险依然普遍存在。2025年10月发布的一份报告分析了1,800个企业网络,发现约三分之一的设备处于IT部门的管控之外。这些设备包括智能电视、恒温器,以及个人手机和笔记本电脑。考虑到平均每家公司拥有35,000台设备,涵盖80种不同类型,对这些终端设备的可视性和控制力不足无疑是一个危险信号。
实际上,问题远不止于此。该报告还发现,约有一半的物联网设备与企业IT系统的链接,均来自已知存在漏洞的资产。更严峻的是,多数网络采用“扁平化”架构,意味着低安全设备与高价值服务器之间几乎没有隔离分区。
这一切之所以重要,是因为黑客的效率已达到前所未有的高度。他们更频繁地利用自动化漏洞检测技术发现薄弱的终端设备,并将其转化为网络入侵的入口。例如,仅在2025年的第一季度,工业领域的勒索软件攻击就激增了50%,这表明黑客们早已准备好随时发动攻击。
管理员必须提供安全补救措施
好消息是,企业无需等待更严格的法规即可实现更强的设备安全性。相反,多种安全策略可快速弥补漏洞。
首先,应制定更严格的设备权限政策。统一终端管理平台可通过多种方式实现此类管控:在个人设备上采用容器化工作配置文件隔离企业数据,或将企业设备锁定为特定功能。康泰纳仕(Condé Nast)集团采用后一种方法,为现场维护团队部署了信息亭式锁定设备。通过中央控制台,他们既能远程推送关键应用程序和更新,又能阻止未经授权的软件安装。
此外,这些平台支持一键打补丁并自动更新软件,确保零日威胁能尽快得到修复。配合提供实时威胁检测的扩展检测与响应(XDR)解决方案,其效果更佳。目前,每10台企业设备中就有4台未启用端点检测与响应(EDR)或XDR,这形成巨大安全漏洞,攻击者可能在此潜伏数周而不被察觉。
若实施得当,XDR可利用威胁情报分配严重性评分,帮助管理员更快响应。依托人工智能驱动的优先修复建议,还能有效缓解警报疲劳问题。
最后,采用零信任架构消除扁平化网络至关重要。通过“永不信任、始终验证”的访问策略,即使发生入侵,攻击者的横向移动也将变得极其困难。
立法者认真对待这种威胁令人鼓舞,但在此期间,黑客将继续利用过时的终端设备进行攻击。管理员别无选择,只能抓住时机,采取相应措施。攻击者不会等待合规截止日期的到来,企业同样也不应坐以待毙。
