För att motverka att obehöriga enheter som ansluts till nätverket får åtkomst till organisationens informationssystem och tjänster behöver organisationen aktivt inventera och upptäcka nya enheter. Organisationen behöver också agera så att endast godkända enheter ges åtkomst till tjänster och informationssystem.
Bristande fysisk och logisk säkerhet kan medföra att en angripare får åtkomst till tillgångar i it-miljön. En bristfälligt konfigurerad wifi-accesspunkt i en publikt tillgänglig zon, eller ett oskyddat nätverksuttag i ett konferensrum, ger exempelvis en angripare möjlighet att koppla in obehörig utrustning och få tillgång till det övriga nätverket och it-miljön. Även andra trådlösa lösningar kan vara sårbara, såsom bluetooth.
Organisationens nätverk sträcker sig många gånger utanför kontorslokalen genom att informationssystem är utkontrakterade, att det trådlösa nätverket (t.ex. wifi och bluetooth) går att nå utanför fastigheten och att det finns möjlighet att koppla upp sig mot nätverket över VPN. Anslutning av organisationens it-miljö mot internet eller andra nätverk utanför den egna kontrollen exponerar systemen och ökar angreppsytan.
I valet mellan säkerhet och verksamhetens behov kommer organisationen ofta behöva acceptera att enheter med lägre skyddsnivå än önskvärt är uppkopplade i it-miljön. De risker som detta innebär bör vara analyserade och motiverade så att inga risker tas i onödan. Det är viktigt att organisationen är medveten om vilka val den står inför, undviker de onödiga riskerna, och balansera verksamhetens behov mot kvarvarande risker.
Tillåt endast anslutning av sådan utrustning som är godkänd av organisationen. Informera medarbetarna om detta.
Använd aktiva och passiva åtgärder för att ta reda på vilken utrustning som är inkopplad på nätverket. Aktiva åtgärder kan vara att skydda nätverket mot anslutande utrustning med hjälp av t.ex. 802.1x-standarden. Passiva åtgärder kan vara att t.ex. använda sig av en teknik som kallas DHCP-snooping.
Skapa en förteckning över varje nätverksansluten utrustning som har en IP-adress på nätverket. Säkerställ att förteckningen innehåller nätverksadresser, ev. maskinnamn, syfte, ansvarig ägare och vilken del av organisationen utrustningen tillhör. Förteckningen bör inkludera stationära och bärbara datorer, servrar, närverksutrustning (till exempel accesspunkter, routrar, switchar och brandväggar), skrivare, lagringsnätverk, IP-telefoner och IoT-enheter.
Minimera antalet möjliga angreppspunkter genom att inaktivera nätverksportar och fysiskt koppla ifrån oanvända nätverkskablar. Se också till att fysiskt skydda nätverksutrustningen t. ex. genom låsta skåp med tillhörande accessloggning. Skydda trådlösa nätverk med säkerhetsåtgärder för att autentisera och auktorisera både användare och klienter. Privat utrustning, om sådana får användas, bör användas endast i för ändamålet avskilda delar i organisationens infrastruktur.