為了使物聯(lián)網(wǎng)(IoT)實(shí)施成功,網(wǎng)絡(luò)和安全專業(yè)人員需要?jiǎng)?chuàng)建包括三件事的物聯(lián)網(wǎng)安全路線圖。
對(duì)于許多IT項(xiàng)目而言,安全性通常是事后的想法,但這種方法會(huì)使組織的業(yè)務(wù)面臨重大風(fēng)險(xiǎn)。物聯(lián)網(wǎng)的興起為網(wǎng)絡(luò)增加了指數(shù)級(jí)的設(shè)備,為網(wǎng)絡(luò)攻擊者創(chuàng)造了更多的入口點(diǎn)。更大的問(wèn)題是,許多物聯(lián)網(wǎng)設(shè)備比傳統(tǒng)IT設(shè)備更容易入侵,使其成為網(wǎng)絡(luò)攻擊者的首選終端。
物聯(lián)網(wǎng)廣泛應(yīng)用于一些行業(yè),但它仍處于大多數(shù)企業(yè)的早期階段。對(duì)于剛剛起步的企業(yè)來(lái)說(shuō),IT和安全領(lǐng)導(dǎo)者現(xiàn)在應(yīng)該為他們的實(shí)現(xiàn)制定安全計(jì)劃。然而,安全的前景廣闊,但令人困惑,因此如何確保物聯(lián)網(wǎng)部署的安全可能并不明顯。以下是創(chuàng)建物聯(lián)網(wǎng)安全計(jì)劃時(shí)必須考慮的三件事。
物聯(lián)網(wǎng)安全計(jì)劃中包含的內(nèi)容如下:
1.可見(jiàn)性是物聯(lián)網(wǎng)安全的基礎(chǔ)
人們無(wú)法保證不可見(jiàn)事物的安全,所以保護(hù)物聯(lián)網(wǎng)的第一步就是知道連接的是什么設(shè)備,問(wèn)題是大多數(shù)企業(yè)都沒(méi)有線索。有關(guān)機(jī)構(gòu)在今年早些時(shí)候進(jìn)行了一項(xiàng)調(diào)查,并詢問(wèn)受訪者對(duì)于他們知道哪些設(shè)備連接到網(wǎng)絡(luò)的自信程度。高達(dá)61%的人表示信心不足或沒(méi)有信心。更糟糕的是,這個(gè)數(shù)字比三年前的51%大幅上升,表明網(wǎng)絡(luò)和團(tuán)隊(duì)在安全方面有些落后。
可見(jiàn)性是一個(gè)起點(diǎn),但實(shí)現(xiàn)完全可見(jiàn)性有幾個(gè)步驟。這包括:
•設(shè)備識(shí)別和發(fā)現(xiàn)。擁有一個(gè)能夠自動(dòng)檢測(cè)、分析和分類網(wǎng)絡(luò)的內(nèi)容,并且開(kāi)發(fā)完整設(shè)備清單的工具非常重要。一旦配置文件,安全專業(yè)人員可以回答關(guān)鍵問(wèn)題,例如“設(shè)備采用什么操作系統(tǒng)?如何配置?它是可信任的還不可信任的?”重要的是,該工具持續(xù)監(jiān)控網(wǎng)絡(luò),以便在設(shè)備連接后立即發(fā)現(xiàn)設(shè)備并對(duì)其進(jìn)行分析。
•預(yù)測(cè)分析。在發(fā)現(xiàn)之后,應(yīng)該學(xué)習(xí)和基線化設(shè)備的行為,以便系統(tǒng)能夠在攻擊造成任何傷害之前對(duì)其作出反應(yīng)。一旦建立了規(guī)范,就可以對(duì)環(huán)境進(jìn)行異常監(jiān)測(cè),然后采取行動(dòng)。這對(duì)于高級(jí)持久性威脅(APT)特別有用,在那里它們保持休眠并映射環(huán)境。任何行為的改變,無(wú)論多么微小,都會(huì)觸發(fā)警報(bào)。
2.網(wǎng)絡(luò)分段可提高安全敏捷性,阻止威脅的橫向移動(dòng)
這是當(dāng)今最大的安全問(wèn)題。Fortinet公司的John Maddison對(duì)于網(wǎng)絡(luò)分段如何為網(wǎng)絡(luò)增加靈活性和敏捷性,以及如何防止內(nèi)部威脅和惡意軟件溢出進(jìn)行了探討,這些惡意軟件已經(jīng)感染了網(wǎng)絡(luò)的其他部分。他是在SD-WAN的背景下討論這個(gè)問(wèn)題,而這個(gè)將會(huì)被物聯(lián)網(wǎng)放大。
網(wǎng)絡(luò)分段的工作原理是分配策略、分離資產(chǎn)和管理風(fēng)險(xiǎn)。當(dāng)物聯(lián)網(wǎng)設(shè)備被破壞時(shí),網(wǎng)絡(luò)分段會(huì)阻止威脅橫向移動(dòng),因?yàn)橘Y產(chǎn)被分類并組合在一起。例如,可以在醫(yī)院中建立策略以將所有心臟泵置于安全區(qū)段中。如果違反了一項(xiàng)規(guī)定,則無(wú)法獲取醫(yī)療記錄。
在組合網(wǎng)絡(luò)分段平臺(tái)時(shí),需要考慮三個(gè)關(guān)鍵事項(xiàng)。
•風(fēng)險(xiǎn)識(shí)別。第一步是根據(jù)企業(yè)認(rèn)為重要的標(biāo)準(zhǔn)對(duì)設(shè)備進(jìn)行分類。這可以是用戶、數(shù)據(jù)、設(shè)備、位置或幾乎任何其他內(nèi)容。然后應(yīng)將風(fēng)險(xiǎn)分配給具有類似風(fēng)險(xiǎn)特征的組。例如,在醫(yī)院中,所有與核磁共振成像(MRI)相關(guān)的端點(diǎn)都可以被分離到它們自己的區(qū)段中。如果違反了一項(xiàng)規(guī)定,則無(wú)法訪問(wèn)醫(yī)療記錄或其他患者的信息。
•策略管理。隨著環(huán)境的擴(kuò)展,需要發(fā)現(xiàn)新設(shè)備并應(yīng)用策略。如果設(shè)備移動(dòng),則策略需要隨之移動(dòng)。將策略管理完全自動(dòng)化非常重要,因?yàn)槿藗儫o(wú)法快速進(jìn)行更改以跟上動(dòng)態(tài)組織的步伐。而策略是管理整個(gè)組織風(fēng)險(xiǎn)的機(jī)制。
•控制。一旦威脅參與者獲得訪問(wèn)權(quán),攻擊者就可以在網(wǎng)絡(luò)上漫游數(shù)周,然后再采取行動(dòng)。隔離物聯(lián)網(wǎng)端點(diǎn)以及與其通信的其他設(shè)備、服務(wù)器和端口,允許企業(yè)在風(fēng)險(xiǎn)基礎(chǔ)上分離資源。從策略的角度選擇對(duì)與物聯(lián)網(wǎng)設(shè)備交互的部分網(wǎng)絡(luò)進(jìn)行不同的處理,使組織能夠控制風(fēng)險(xiǎn)。
3.設(shè)備保護(hù)在物聯(lián)網(wǎng)安全中位列首位
物聯(lián)網(wǎng)安全的首要任務(wù)是先保護(hù)設(shè)備,然后保護(hù)網(wǎng)絡(luò)。一旦一個(gè)物聯(lián)網(wǎng)設(shè)備被保護(hù)并加入網(wǎng)絡(luò),它必須以與其他網(wǎng)絡(luò)元素協(xié)調(diào)的方式進(jìn)行保護(hù)。保護(hù)物聯(lián)網(wǎng)端點(diǎn)是正確執(zhí)行策略的問(wèn)題。這是通過(guò)以下機(jī)制實(shí)現(xiàn)的:
•政策靈活性和執(zhí)行力。解決方案需要更加靈活,能夠在設(shè)備和訪問(wèn)級(jí)別定義和實(shí)施策略。為了滿足物聯(lián)網(wǎng)的需求,需要強(qiáng)制執(zhí)行控制設(shè)備行為、流量類型以及它在網(wǎng)絡(luò)上的位置的規(guī)則。物聯(lián)網(wǎng)端點(diǎn)、消費(fèi)設(shè)備和云計(jì)算應(yīng)用程序就是必須建立和實(shí)施不同策略的例子。
•威脅情報(bào)。一旦建立了控制措施,就必須始終如一地執(zhí)行策略,并在整個(gè)網(wǎng)絡(luò)中轉(zhuǎn)換合規(guī)性要求。這就創(chuàng)建了一種智能的自我學(xué)習(xí)結(jié)構(gòu),可以立即對(duì)威脅作出反應(yīng)。當(dāng)情報(bào)分布在整個(gè)網(wǎng)絡(luò)上時(shí),可以在攻擊點(diǎn)采取行動(dòng),而不是等待威脅到達(dá)中心點(diǎn)。威脅情報(bào)應(yīng)該是本地信息和全球信息的結(jié)合,以在威脅發(fā)生之前識(shí)別它們。
不幸的是,對(duì)于網(wǎng)絡(luò)和安全專業(yè)人士來(lái)說(shuō),在保護(hù)物聯(lián)網(wǎng)設(shè)備方面并不簡(jiǎn)單。但是,通過(guò)正確的規(guī)劃和準(zhǔn)備,即使是最大的物聯(lián)網(wǎng)環(huán)境也可以得到保護(hù),因此企業(yè)可以繼續(xù)實(shí)施,而不會(huì)使其業(yè)務(wù)面臨風(fēng)險(xiǎn)。