物聯(lián)網(wǎng)(IoT)為企業(yè)帶來了一些巨大的好處,例如對企業(yè)資產(chǎn)和產(chǎn)品的性能有了更深入的了解,改進制造過程,以及更好的客戶服務。不幸的是,與物聯(lián)網(wǎng)相關的安全問題仍然是企業(yè)面臨的一個重大問題,在某些情況下,這可能會阻礙企業(yè)的物聯(lián)網(wǎng)應用。解決物聯(lián)網(wǎng)安全風險的一個可行方案是微分段。專家表示,這是一種網(wǎng)絡概念,可以幫助控制物聯(lián)網(wǎng)環(huán)境。
借助微分段,組織可以在其數(shù)據(jù)中心和云計算環(huán)境中創(chuàng)建安全區(qū)域,使它們能夠將工作負載彼此隔離并分別進行保護。在物聯(lián)網(wǎng)環(huán)境中,微分段可以使企業(yè)更好地控制設備之間發(fā)生的橫向通信數(shù)量的增長,從而繞過以外圍設備為中心的安全工具。
對于企業(yè)來說,將微分段技術應用于物聯(lián)網(wǎng)可能還為時過早。但業(yè)內(nèi)觀察人士認為,物聯(lián)網(wǎng)部署有可能促使企業(yè)采用微分段技術,以實現(xiàn)比傳統(tǒng)防火墻更精細、更簡單的保護。
物聯(lián)網(wǎng)帶來新的安全風險
物聯(lián)網(wǎng)安全風險可能包括涉及連接設備本身,支持物聯(lián)網(wǎng)的軟件以及網(wǎng)絡的多種威脅。
隨著物聯(lián)網(wǎng)部署的增長,對安全的威脅也越來越大。根據(jù)研究機構波洛蒙研究所和風險管理服務商The Santa Fe Group的調(diào)查報告,自2017年以來,與物聯(lián)網(wǎng)相關的數(shù)據(jù)泄露事件急劇增加。使問題進一步復雜化的是,大多數(shù)組織并不了解其環(huán)境中或來自第三方供應商的每個不安全的物聯(lián)網(wǎng)設備或應用程序。波洛蒙研究所的研究表明,許多組織沒有解決或管理物聯(lián)網(wǎng)風險的集中責任制,并且大多數(shù)人認為他們的數(shù)據(jù)可能會在未來24個月內(nèi)遭到破壞。
物聯(lián)網(wǎng)安全風險對于醫(yī)療保健等行業(yè)而言可能更高,因為設備會通過網(wǎng)絡收集和共享大量敏感信息。在研究機構Vanson Bourne公司調(diào)查的232個醫(yī)療保健組織中,有82%的組織表示,在過去一年中經(jīng)歷了以物聯(lián)網(wǎng)為中心的網(wǎng)絡攻擊。當被要求確定醫(yī)療機構中最突出的漏洞在哪里時,網(wǎng)絡被引用頻率最高(50%),其次是移動設備和隨附的應用程序(45%),以及物聯(lián)網(wǎng)設備(42%)。
微分段如何幫助物聯(lián)網(wǎng)安全
微分段的設計是為了使網(wǎng)絡安全更精細。下一代防火墻、虛擬局域網(wǎng)(VLAN)和訪問控制列表(ACL)等其他解決方案提供了一定程度的網(wǎng)絡分段。但是,通過微分段,可能將策略應用于單個工作負載,以便更好地防止攻擊。因此,這些工具提供比虛擬局域網(wǎng)(VLAN)等服務更細粒度的流量分段。
軟件定義網(wǎng)絡(SDN)和網(wǎng)絡虛擬化的出現(xiàn),推動了微分段技術的發(fā)展。通過使用與網(wǎng)絡硬件分離的軟件,與軟件未與底層硬件分離相比,微分段更容易實現(xiàn)。
由于微分段提供了比諸如防火墻之類的面向周邊的產(chǎn)品更大的數(shù)據(jù)中心流量控制能力,因此它可以阻止攻擊者進入網(wǎng)絡進行破壞。
分段也有管理上的好處。研究機構IDC公司的物聯(lián)網(wǎng)安全分析師Robyn Westervelt表示,“如果可以正確實施微分段,則可以在物聯(lián)網(wǎng)設備和其他敏感資源之間添加一層安全保護,而不會在防火墻上造成漏洞。但是底層的基礎設施必須支持這種方法,并且可能需要安裝新的現(xiàn)代交換機、網(wǎng)關等。”
出于安全或隱私原因將網(wǎng)絡劃分為多個部分的概念并不新鮮。一段時間以來,企業(yè)一直在隔離一些關鍵或高風險資源。
Westervelt表示,例如,網(wǎng)絡分段在零售領域很普遍。許多商家將其支付環(huán)境與其他網(wǎng)絡流量隔離開來,以縮小支付卡行業(yè)數(shù)據(jù)安全標準(PCI DSS)的范圍,該標準旨在確保公司接受、處理、存儲或傳輸信用卡信息的一組安全標準維持安全的環(huán)境。
Westervelt說,“這并不是萬無一失的,因為正如我們在零售商Target公司的數(shù)據(jù)泄露事件中所看到的那樣,攻擊者可以找到從一個系統(tǒng)跳到另一個系統(tǒng)的方法。這樣做需要更多的技巧和資源;足以阻止許多出于經(jīng)濟動機的攻擊者。但這是可以完成的。”
Westervelt說,多年來,Target公司數(shù)據(jù)泄露的細節(jié)一直令人困惑。她說,“攻擊者使用被盜的憑證來訪問Target公司用來支付其HVAC供應商的承包商計費系統(tǒng)。從那里,他們可以訪問網(wǎng)絡,并橫向移動到POS(銷售點)系統(tǒng)。”
Westervelt說,微分段還可以用于隔離虛擬環(huán)境中的關鍵應用程序工作負載。她說,“通過這種方式,企業(yè)可以對關鍵工作負載設置更嚴格的控制,并密切監(jiān)視訪問和更改。”
該技術也被認為是工業(yè)控制系統(tǒng)環(huán)境中的最佳實踐。她說,“組織可以使用工業(yè)防火墻和單向網(wǎng)關隔離分配給敏感過程的關鍵可編程邏輯控制器。”
在IT環(huán)境中,可以對具有全球互聯(lián)網(wǎng)連接的新部署的操作技術(OT)進行分段,以防止攻擊者將其用作生產(chǎn)系統(tǒng)的集結地或墊腳石。這就是微分段與物聯(lián)網(wǎng)相關的地方。
Westervelt說:“這些操作技術(OT)包括現(xiàn)代建筑管理系統(tǒng)、太陽能電池板、電梯傳感器以及包括滅火系統(tǒng)在內(nèi)的物理安全機制。目前這并不是一個重要的領域,但是我們看到一些大型銀行和金融服務公司減輕了數(shù)據(jù)中心設施中與操作技術(OT)相關的風險。”
網(wǎng)絡專家說,將微分段作為廣泛的物聯(lián)網(wǎng)安全策略的一部分進行部署可能很有意義。
獨立的信息安全顧問Kevin Beaver表示:“這種網(wǎng)絡模型可以對網(wǎng)絡系統(tǒng)進行更精細的控制,并在利用安全漏洞的情況下實現(xiàn)更好的隔離。這些好處不僅可以幫助改善安全可見性和控制,而且還可以改善事件響應和取證。”
研究機構Gartner公司的分析師Jon Amato表示,“這項技術可能是從IT系統(tǒng)中分割物聯(lián)網(wǎng)網(wǎng)絡的一種非常有效的方法。微分段產(chǎn)品還具有創(chuàng)建虛擬分段的能力,這種虛擬分段可以將設備類型彼此分離,甚至跨越多個物理位置。”
Amato說,這也與美國國土安全部(DHS)等組織的物聯(lián)網(wǎng)安全指南保持一致。美國國土安全部(DHS)在其《確保物聯(lián)網(wǎng)安全的戰(zhàn)略原則》報告中提出了組織權衡連通性的好處與它帶來的風險:
報告說:“鑒于物聯(lián)網(wǎng)設備的使用以及與物聯(lián)網(wǎng)設備相關的風險,特別是在工業(yè)環(huán)境中,物聯(lián)網(wǎng)用戶應慎重考慮是否需要連接。物聯(lián)網(wǎng)消費者還可以通過謹慎連接,并權衡可能限制物聯(lián)網(wǎng)設備發(fā)生故障或限制連接到互聯(lián)網(wǎng)的成本,來幫助控制網(wǎng)絡連接所帶來的潛在威脅。”
Amato說,微分段非常符合此建議。他說,“僅創(chuàng)建一個物聯(lián)網(wǎng)細分市場還遠遠不夠,還需要將這些設備彼此分割開來。而且,大多數(shù)物聯(lián)網(wǎng)設備缺少基于主機的控件,因此企業(yè)只能使用微分段等解決方案來實現(xiàn)這一目標。”
物聯(lián)網(wǎng)安全的微細分發(fā)展緩慢
Amato說,盡管具有潛在的優(yōu)勢,但迄今為止,似乎沒有廣泛采用微分段技術來實現(xiàn)物聯(lián)網(wǎng)安全。
Amato說,“我所看到的是,只有那些已經(jīng)擁有成熟的物聯(lián)網(wǎng)安全計劃的組織才能實現(xiàn)微分段,或者將現(xiàn)有的程序擴展到物聯(lián)網(wǎng)領域。對于大多數(shù)組織來說,將IT和物聯(lián)網(wǎng)彼此分開只是他們現(xiàn)在可以做的最好的事情,在研究使物聯(lián)網(wǎng)全部工作所涉及的工作水平之后,實際上進行物聯(lián)網(wǎng)微分段的企業(yè)要少得多。”
Beaver說,對于構建物聯(lián)網(wǎng)基礎設施的組織來說,重要的是要考慮他們是否真的需要對物聯(lián)網(wǎng)安全進行微分段。
Beaver說,“企業(yè)必須確定當前的風險級別和業(yè)務流程,每一項新技術或控制都會帶來意想不到的后果。與零信任模型相關的其他復雜性是否會以抵消可察覺的利益的方式影響企業(yè)的安全計劃?”
一個很好的做法是徹底了解物聯(lián)網(wǎng)如何影響企業(yè)中的所有網(wǎng)絡,以便確定確保數(shù)據(jù)安全傳輸?shù)淖罴逊椒ā?/div>
Beaver說,“企業(yè)實際上可以強制執(zhí)行(包括物聯(lián)網(wǎng))的安全標準和策略,如果企業(yè)以基于風險的觀點進行處理,并希望將網(wǎng)絡復雜性降到最低,那么可能就能夠控制其物聯(lián)網(wǎng)環(huán)境。”
版權聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權利。
京公網(wǎng)安備 11010502049343號