300億IoT設備將至，2027年監(jiān)管落地前企業(yè)網絡安全誰擔責？

連接設備監(jiān)管的道路漫長而曲折，但仍有很長的路要走。在美國，聯(lián)邦通信委員會(FCC)于2025年9月對負責該項目審核的私營公司展開調查后，“網絡信任標志”(Cyber Trust Mark)計劃陷入停滯。相比之下，歐洲在物聯(lián)網保護方面進展更快，《網絡彈性法案》(Cyber Resilience Act，簡稱CRA)已接近實施，但全面執(zhí)行要到‌2027年底‌才能完成。vr3esmc

與此同時，設備后門和漏洞的出現(xiàn)速度持續(xù)超過這些法規(guī)的應對能力，尤其在勒索軟件和人工智能驅動的威脅行為者日益猖獗的背景下，這一趨勢尤其令人擔憂。vr3esmc

如今，設備基準即將出臺。但在此之前，企業(yè)仍需自行保障安全。這也意味著，企業(yè)管理員不應坐等數(shù)年后才出臺的監(jiān)管保障，而應立即解決終端安全與運營漏洞問題。vr3esmc

監(jiān)管措施即將出臺

多年來，我們一直知道，來自世界各地的廉價設備通常配備通用密碼、有限的軟件支持和薄弱的數(shù)據(jù)保護。但隨著全球設備數(shù)量到本十年末(截至2030年)預計達到300億臺，約為2022年數(shù)據(jù)的三倍，各國政府已經意識到需要加強生產環(huán)節(jié)的安全保障。vr3esmc

而歐洲的提案堪稱是迄今為止最全面的舉措。歐盟在2024年年底通過的《網絡彈性法案》(CRA)，要求制造商和零售商確保產品在規(guī)劃、設計、開發(fā)及維護全過程中的網絡安全。當然，這并非僅是一項簡單的提議，而是任何含數(shù)字組件的產品都必須提供全生命周期支持，否則將面臨巨額罰款和市場準入限制。vr3esmc

此外，一些關鍵產品在進入歐盟市場前需通過第三方評估。不過，主要義務條款將于2027年12月才正式生效并開始執(zhí)行。vr3esmc

另一方面，美國正選擇采用一種面向‌消費者的認證標識‌。該認證標識與食品營養(yǎng)標簽或能源之星標識類似，“‌網絡信任標志”‌將表明這些設備符合由聯(lián)邦通信委員會(FCC)和國家標準與技術研究院(NIST)設定的某些安全標準(例如，面向消費者的‌安全控制措施‌和‌自動更新功能‌)。vr3esmc

這一計劃的意圖是雙重的：消費者可以區(qū)分市場上值得信賴的產品，而制造商則有動力提升設備安全性。盡管計劃在2025年推出，但由于FCC正在對該項目的主導公司及其與中國潛在關聯(lián)展開新調查，這一時間表現(xiàn)在變得不確定。與此同時，大西洋兩岸的設備安全風險都在加速上升。vr3esmc

威脅形勢日益嚴峻

遺憾的是，無論企業(yè)規(guī)模大小，設備安全風險依然普遍存在。2025年10月發(fā)布的一份報告分析了1,800個企業(yè)網絡，發(fā)現(xiàn)約三分之一的設備處于IT部門的管控之外。這些設備包括智能電視、恒溫器，以及個人手機和筆記本電腦?？紤]到平均每家公司擁有35,000臺設備，涵蓋80種不同類型，對這些終端設備的可視性和控制力不足無疑是一個危險信號。vr3esmc

實際上，問題遠不止于此。該報告還發(fā)現(xiàn)，約有一半的物聯(lián)網設備與企業(yè)IT系統(tǒng)的鏈接，均來自已知存在漏洞的資產。更嚴峻的是，多數(shù)網絡采用“扁平化”架構，意味著低安全設備與高價值服務器之間幾乎沒有隔離分區(qū)。vr3esmc

這一切之所以重要，是因為黑客的效率已達到前所未有的高度。他們更頻繁地利用自動化漏洞檢測技術發(fā)現(xiàn)薄弱的終端設備，并將其轉化為網絡入侵的入口。例如，僅在2025年的第一季度，工業(yè)領域的勒索軟件攻擊就激增了50%，這表明黑客們早已準備好隨時發(fā)動攻擊。vr3esmc

管理員必須提供安全補救措施

好消息是，企業(yè)無需等待更嚴格的法規(guī)即可實現(xiàn)更強的設備安全性。相反，多種安全策略可快速彌補漏洞。vr3esmc

首先，應制定更嚴格的設備權限政策。統(tǒng)一終端管理平臺可通過多種方式實現(xiàn)此類管控：在個人設備上采用容器化工作配置文件隔離企業(yè)數(shù)據(jù)，或將企業(yè)設備鎖定為特定功能。康泰納仕(Condé Nast)集團采用后一種方法，為現(xiàn)場維護團隊部署了信息亭式鎖定設備。通過中央控制臺，他們既能遠程推送關鍵應用程序和更新，又能阻止未經授權的軟件安裝。vr3esmc

此外，這些平臺支持一鍵打補丁并自動更新軟件，確保零日威脅能盡快得到修復。配合提供實時威脅檢測的‌擴展檢測與響應(XDR)‌解決方案，其效果更佳。目前，每10臺企業(yè)設備中就有4臺未啟用‌端點檢測與響應(EDR)‌或‌XDR‌，這形成巨大安全漏洞，攻擊者可能在此潛伏數(shù)周而不被察覺。vr3esmc

若實施得當，XDR可利用威脅情報分配嚴重性評分，幫助管理員更快響應。依托人工智能驅動的優(yōu)先修復建議，還能有效緩解警報疲勞問題。vr3esmc

最后，采用零信任架構消除扁平化網絡至關重要。通過“永不信任、始終驗證”的訪問策略，即使發(fā)生入侵，攻擊者的橫向移動也將變得極其困難。vr3esmc

立法者認真對待這種威脅令人鼓舞，但在此期間，黑客將繼續(xù)利用過時的終端設備進行攻擊。管理員別無選擇，只能抓住時機，采取相應措施。攻擊者不會等待合規(guī)截止日期的到來，企業(yè)同樣也不應坐以待斃。vr3esmc

vr3esmc