自帶設(shè)備(BYOD)是最近十余年來首輪最重要的物聯(lián)網(wǎng)設(shè)備引入,且主要集中在移動(dòng)手機(jī)與筆記本電腦等用戶自有設(shè)備身上。
在此期間,系統(tǒng)管理員亦在努力將不安全及未受保護(hù)的設(shè)備引入主干封閉網(wǎng)絡(luò)當(dāng)中,而網(wǎng)絡(luò)犯罪分子則很快利用這種新的攻擊載體。
一、人均聯(lián)網(wǎng)設(shè)備數(shù)量即將多達(dá)7臺(tái)
快速推進(jìn)到今天,這個(gè)問題已經(jīng)變得更為復(fù)雜。用戶已經(jīng)開始用智能手機(jī)取代功能機(jī),其上能夠運(yùn)行的應(yīng)用程序已經(jīng)遠(yuǎn)遠(yuǎn)超過任何人的想象。與此同時(shí),其它智能設(shè)備(包括可穿戴設(shè)備與平板電腦)仍在持續(xù)增長(zhǎng),部分專家估計(jì)到2020年人均聯(lián)網(wǎng)設(shè)備數(shù)量將多達(dá)7臺(tái)。
然而,最終用戶設(shè)備僅僅只是系統(tǒng)管理員需要關(guān)注的冰山一角。其它物聯(lián)網(wǎng)(IoT)設(shè)備也在以前所未有的速度立足網(wǎng)絡(luò)內(nèi)部激增——從智能家電與庫存追蹤器,再到聯(lián)網(wǎng)醫(yī)療與 OT 設(shè)備皆在其中。這種擴(kuò)展已經(jīng)成為大數(shù)據(jù)增長(zhǎng)背后的關(guān)鍵性驅(qū)動(dòng)因素,且貢獻(xiàn)著可觀的網(wǎng)絡(luò)流量比例。
專家們認(rèn)為,到2023年將有近320億臺(tái)物聯(lián)網(wǎng)設(shè)備存在,并以43%的復(fù)合年增長(zhǎng)率支持全球移動(dòng)數(shù)據(jù)流量。
二、大多數(shù)IT安全架構(gòu)尚未做好準(zhǔn)備
由于大多數(shù)此類數(shù)據(jù)以需要在不同網(wǎng)絡(luò)(包括多云環(huán)境)內(nèi)的各類應(yīng)用程序與事務(wù)之間往來移動(dòng)的形式存在,因此我們需要對(duì)大部分?jǐn)?shù)據(jù)進(jìn)行加密。
除了數(shù)據(jù)量本身快速超越安全設(shè)備的消化能力之外,加密機(jī)制的介入也將帶來新的復(fù)雜層。在檢查 SSL 流量方面,全球范圍內(nèi)幾乎所有已經(jīng)部署的安全解決方案都很難應(yīng)對(duì)由此帶來的巨大壓力。而且可以肯定的是,未來大多數(shù)邊緣與內(nèi)部安全設(shè)備都需要將此作為自身的主要功能。
對(duì)于在新興數(shù)字市場(chǎng)中競(jìng)爭(zhēng)的組織而言,安全事故無疑是不可接受的。更糟糕的是,用戶總能找到繞過安全機(jī)制的方法并給網(wǎng)絡(luò)體系帶來致命軟肋。
對(duì)于安全團(tuán)隊(duì)而言,放慢速度以充分應(yīng)用安全檢查與協(xié)議機(jī)制是一種不可接受的處理思路。考慮緊張的安全預(yù)算,幾乎不可能將安全設(shè)備升級(jí)至足以承載如此嚴(yán)苛的性能要求。
除了上述因素之外,組織還需要確保在不同網(wǎng)絡(luò)域之間傳輸數(shù)據(jù)時(shí),實(shí)施統(tǒng)一的安全策略——這無疑進(jìn)一步增加了安全問題的復(fù)雜性,組織需要在各種網(wǎng)絡(luò)生態(tài)系統(tǒng)中部署具備相同功能與特性的工具。
三、如何利用分段機(jī)制保護(hù)物聯(lián)網(wǎng)?
實(shí)現(xiàn)這一目標(biāo)的關(guān)鍵策略,在于實(shí)施全面的分段策略。對(duì)于這樣一套行之有效的物聯(lián)網(wǎng)(IoT)安全策略,需要執(zhí)行以下三個(gè)基本步驟:
1. 建立廣泛的可見性:
大多數(shù)組織面臨的最大挑戰(zhàn),在于識(shí)別并追蹤接入網(wǎng)絡(luò)的所有物聯(lián)網(wǎng)設(shè)備。網(wǎng)絡(luò)訪問控制允許組織以安全的方式對(duì)物聯(lián)網(wǎng)設(shè)備進(jìn)行身份驗(yàn)證與分類。立足訪問點(diǎn)對(duì)設(shè)備進(jìn)行實(shí)時(shí)發(fā)現(xiàn)與分類,IT團(tuán)隊(duì)將能夠構(gòu)建起風(fēng)險(xiǎn)概況,并可自動(dòng)將物聯(lián)網(wǎng)設(shè)備分配予適當(dāng)?shù)脑O(shè)備組與相關(guān)策略。
2. 立足生產(chǎn)網(wǎng)絡(luò)進(jìn)行物聯(lián)網(wǎng)分段:
一旦網(wǎng)絡(luò)確定了物聯(lián)網(wǎng)設(shè)備,IT 團(tuán)隊(duì)接下來需要建立物聯(lián)網(wǎng)攻擊面控制機(jī)制。將物聯(lián)網(wǎng)設(shè)備與相關(guān)通信分段為基于策略的組與安全網(wǎng)絡(luò)區(qū)域提供可由網(wǎng)絡(luò)自動(dòng)授予及執(zhí)行的基準(zhǔn)物聯(lián)網(wǎng)設(shè)備配置權(quán)限。
庫存管理工具能夠追蹤這些設(shè)備,行為分析工具可以監(jiān)控其行為,而應(yīng)用內(nèi)分段防火墻(ISFW)則使得組織不僅能夠快速、動(dòng)態(tài)地監(jiān)控其行為,還能夠檢查跨越分段邊界的應(yīng)用程序及其它流量。
3. 保護(hù)網(wǎng)絡(luò):
建立策略驅(qū)動(dòng)型物聯(lián)網(wǎng)組,而后將其與內(nèi)部網(wǎng)絡(luò)分段相結(jié)合,從而根據(jù)行為對(duì)設(shè)備策略進(jìn)行多層監(jiān)控、檢查與實(shí)施——而無需考慮分布式企業(yè)級(jí)基礎(chǔ)設(shè)施的具體部署位置。在此之后,集成的自動(dòng)化安全框架使得在傳統(tǒng)上相互隔離的安全設(shè)備能夠在物聯(lián)網(wǎng)流量經(jīng)由網(wǎng)絡(luò)時(shí)將各類威脅情報(bào)關(guān)聯(lián)起來——甚至能夠在跨越不同網(wǎng)絡(luò)生態(tài)系統(tǒng)部署的設(shè)備之間進(jìn)行關(guān)聯(lián)。在此之后,這些集成工具能夠自動(dòng)將高級(jí)安全功能應(yīng)用于一切物聯(lián)網(wǎng)設(shè)備或者網(wǎng)絡(luò)中任何位置的異常流量,包括接入點(diǎn)、跨網(wǎng)段流量以及跨多云部署環(huán)境。
組織不應(yīng)再將物聯(lián)網(wǎng)設(shè)備視為業(yè)務(wù)體系中的孤立或者獨(dú)立組成部分。物聯(lián)網(wǎng)(IoT)設(shè)備及其相關(guān)數(shù)據(jù)能夠與您的擴(kuò)展網(wǎng)絡(luò)中的其它設(shè)備與資源進(jìn)行交互,包括各類端點(diǎn)設(shè)備、多云環(huán)境以及互聯(lián)程度日益增長(zhǎng)的 IT 與 OT 網(wǎng)絡(luò)。
傳統(tǒng)上的隔離型物聯(lián)網(wǎng)安全解決方案不僅會(huì)增加開銷并降低可見性,而且完全無法配合如今物聯(lián)網(wǎng)設(shè)備所產(chǎn)生的大規(guī)模流量。為了充分對(duì)網(wǎng)絡(luò)及物聯(lián)網(wǎng)加以保護(hù),組織需要跨越網(wǎng)絡(luò)環(huán)境部署廣泛的安全架構(gòu)、強(qiáng)大的安全工具,以動(dòng)態(tài)方式對(duì)物聯(lián)網(wǎng)設(shè)備進(jìn)行分段,同時(shí)以符合網(wǎng)絡(luò)速度的水平檢查加密流量。除此之外,組織還應(yīng)實(shí)現(xiàn)不同安全解決方案之間的深度集成,從而關(guān)聯(lián)威脅情報(bào)并自動(dòng)立足分布式物聯(lián)網(wǎng)網(wǎng)絡(luò)中的任何位置對(duì)檢測(cè)到的威脅加以響應(yīng)。