連接設備監管的道路漫長而曲折,但仍有很長的路要走。在美國,聯邦通信委員會(FCC)于2025年9月對負責該項目審核的私營公司展開調查后,“網絡信任標志”(Cyber Trust Mark)計劃陷入停滯。相比之下,歐洲在物聯網保護方面進展更快,《網絡彈性法案》(Cyber Resilience Act,簡稱CRA)已接近實施,但全面執行要到2027年底才能完成。
與此同時,設備后門和漏洞的出現速度持續超過這些法規的應對能力,尤其在勒索軟件和人工智能驅動的威脅行為者日益猖獗的背景下,這一趨勢尤其令人擔憂。
如今,設備基準即將出臺。但在此之前,企業仍需自行保障安全。這也意味著,企業管理員不應坐等數年后才出臺的監管保障,而應立即解決終端安全與運營漏洞問題。
監管措施即將出臺
多年來,我們一直知道,來自世界各地的廉價設備通常配備通用密碼、有限的軟件支持和薄弱的數據保護。但隨著全球設備數量到本十年末(截至2030年)預計達到300億臺,約為2022年數據的三倍,各國政府已經意識到需要加強生產環節的安全保障。
而歐洲的提案堪稱是迄今為止最全面的舉措。歐盟在2024年年底通過的《網絡彈性法案》(CRA),要求制造商和零售商確保產品在規劃、設計、開發及維護全過程中的網絡安全。當然,這并非僅是一項簡單的提議,而是任何含數字組件的產品都必須提供全生命周期支持,否則將面臨巨額罰款和市場準入限制。
此外,一些關鍵產品在進入歐盟市場前需通過第三方評估。不過,主要義務條款將于2027年12月才正式生效并開始執行。
另一方面,美國正選擇采用一種面向消費者的認證標識。該認證標識與食品營養標簽或能源之星標識類似,“網絡信任標志”將表明這些設備符合由聯邦通信委員會(FCC)和國家標準與技術研究院(NIST)設定的某些安全標準(例如,面向消費者的安全控制措施和自動更新功能)。
這一計劃的意圖是雙重的:消費者可以區分市場上值得信賴的產品,而制造商則有動力提升設備安全性。盡管計劃在2025年推出,但由于FCC正在對該項目的主導公司及其與中國潛在關聯展開新調查,這一時間表現在變得不確定。與此同時,大西洋兩岸的設備安全風險都在加速上升。
威脅形勢日益嚴峻
遺憾的是,無論企業規模大小,設備安全風險依然普遍存在。2025年10月發布的一份報告分析了1,800個企業網絡,發現約三分之一的設備處于IT部門的管控之外。這些設備包括智能電視、恒溫器,以及個人手機和筆記本電腦。考慮到平均每家公司擁有35,000臺設備,涵蓋80種不同類型,對這些終端設備的可視性和控制力不足無疑是一個危險信號。
實際上,問題遠不止于此。該報告還發現,約有一半的物聯網設備與企業IT系統的鏈接,均來自已知存在漏洞的資產。更嚴峻的是,多數網絡采用“扁平化”架構,意味著低安全設備與高價值服務器之間幾乎沒有隔離分區。
這一切之所以重要,是因為黑客的效率已達到前所未有的高度。他們更頻繁地利用自動化漏洞檢測技術發現薄弱的終端設備,并將其轉化為網絡入侵的入口。例如,僅在2025年的第一季度,工業領域的勒索軟件攻擊就激增了50%,這表明黑客們早已準備好隨時發動攻擊。
管理員必須提供安全補救措施
好消息是,企業無需等待更嚴格的法規即可實現更強的設備安全性。相反,多種安全策略可快速彌補漏洞。
首先,應制定更嚴格的設備權限政策。統一終端管理平臺可通過多種方式實現此類管控:在個人設備上采用容器化工作配置文件隔離企業數據,或將企業設備鎖定為特定功能。康泰納仕(Condé Nast)集團采用后一種方法,為現場維護團隊部署了信息亭式鎖定設備。通過中央控制臺,他們既能遠程推送關鍵應用程序和更新,又能阻止未經授權的軟件安裝。
此外,這些平臺支持一鍵打補丁并自動更新軟件,確保零日威脅能盡快得到修復。配合提供實時威脅檢測的擴展檢測與響應(XDR)解決方案,其效果更佳。目前,每10臺企業設備中就有4臺未啟用端點檢測與響應(EDR)或XDR,這形成巨大安全漏洞,攻擊者可能在此潛伏數周而不被察覺。
若實施得當,XDR可利用威脅情報分配嚴重性評分,幫助管理員更快響應。依托人工智能驅動的優先修復建議,還能有效緩解警報疲勞問題。
最后,采用零信任架構消除扁平化網絡至關重要。通過“永不信任、始終驗證”的訪問策略,即使發生入侵,攻擊者的橫向移動也將變得極其困難。
立法者認真對待這種威脅令人鼓舞,但在此期間,黑客將繼續利用過時的終端設備進行攻擊。管理員別無選擇,只能抓住時機,采取相應措施。攻擊者不會等待合規截止日期的到來,企業同樣也不應坐以待斃。
