物聯(lián)網(wǎng)(IoT)可以為企業(yè)帶來了一些巨大的好處,例如對企業(yè)資產(chǎn)和產(chǎn)品的性能有了更深入的了解,改進制造過程,以及提供更好的客戶服務。不幸的是,與物聯(lián)網(wǎng)相關的棘手安全問題仍然是企業(yè)面臨的一個重大問題,在某些情況下,可能會使他們無法繼續(xù)推進計劃。微分段是解決一部分物聯(lián)網(wǎng)安全風險的一種解決方案,專家稱這是一種網(wǎng)絡概念,可幫助控制物聯(lián)網(wǎng)環(huán)境。
通過微分段,企業(yè)可以在其數(shù)據(jù)中心和云計算環(huán)境中創(chuàng)建安全區(qū)域,使他們能夠?qū)⒐ぷ髫撦d彼此隔離并分別進行保護。在物聯(lián)網(wǎng)環(huán)境中,微分段可以繞過以外圍設備為中心的安全工具,從而使企業(yè)能夠更好地控制設備之間不斷增加的橫向通信量。
對于企業(yè)而言,將微分段用于物聯(lián)網(wǎng)仍處于競爭階段初期,但行業(yè)分析人士認為,物聯(lián)網(wǎng)部署的潛力可能促使企業(yè)采用微分段,以提供比傳統(tǒng)防火墻所能提供的更精細、更簡單的保護。
物聯(lián)網(wǎng)帶來新的安全風險
物聯(lián)網(wǎng)安全風險可能包括涉及物聯(lián)網(wǎng)設備本身、支持物聯(lián)網(wǎng)的軟件以及使所有連接成為可能的網(wǎng)絡的多種威脅。
隨著物聯(lián)網(wǎng)部署的增長,安全威脅也在增加。根據(jù)研究機構(gòu)波洛蒙研究所和風險管理服務機構(gòu)圣達菲集團(SantaFe Group)的報告,自2017年以來,與物聯(lián)網(wǎng)相關的數(shù)據(jù)泄露事件急劇增加。使問題進一步復雜化的是,大多數(shù)企業(yè)并不知道其環(huán)境中或第三方供應商提供的每個不安全的物聯(lián)網(wǎng)設備或應用程序。波洛蒙研究所的研究表明,許多企業(yè)沒有解決或管理物聯(lián)網(wǎng)風險的集中責任制,并且大多數(shù)企業(yè)認為他們的數(shù)據(jù)可能在未來兩年內(nèi)泄露。
物聯(lián)網(wǎng)安全風險對于醫(yī)療保健等行業(yè)而言可能特別高,這是因為物聯(lián)網(wǎng)設備會通過網(wǎng)絡收集和共享大量敏感信息。在研究機構(gòu)Vanson Bourne公司調(diào)查的232個醫(yī)療保健組織中,82%的受訪者表示,在過去一年中經(jīng)歷了以物聯(lián)網(wǎng)為中心的網(wǎng)絡攻擊。當被要求確定醫(yī)療機構(gòu)中最突出的漏洞存在的位置時,網(wǎng)絡被引用的頻率最高(50%),其次是移動設備和伴隨的應用程序(45%)和物聯(lián)網(wǎng)設備(42%)。
微分段如何為物聯(lián)網(wǎng)安全提供幫助
微分段旨在使網(wǎng)絡安全性更加精細。下一代防火墻、虛擬局域網(wǎng)(VLAN)和訪問控制列表(ACL)等其他解決方案提供了一定程度的網(wǎng)絡分段。但是通過微分段,可以將策略應用于單個工作負載,以提供更好的防御攻擊。結(jié)果,與VLAN等產(chǎn)品相比,這些工具可提供更細粒度的流量分段。
軟件定義網(wǎng)絡(SDN)和網(wǎng)絡虛擬化的出現(xiàn),推動了微段技術的發(fā)展。通過使用與網(wǎng)絡硬件分離的軟件,與軟件未與底層硬件分離相比,分段更容易實現(xiàn)。
由于與防火墻等外圍產(chǎn)品相比,微分段技術能夠更好地控制數(shù)據(jù)中心的流量,因此它可以阻止攻擊者進入網(wǎng)絡進行破壞。
微分段也有利于管理。研究機構(gòu)IDC公司的物聯(lián)網(wǎng)安全分析師Robyn Westervelt說:“如果可以正確地實現(xiàn)微分段,就可以在物聯(lián)網(wǎng)設備和其他敏感資源之間增加一層安全性,而不會在防火墻上造成漏洞。但底層基礎設施必須支持這種方法,可能需要安裝新的、現(xiàn)代化的交換機、網(wǎng)關等。”
出于安全或隱私的原因?qū)⒕W(wǎng)絡分成多個部分的概念并不新鮮。一段時間以來,企業(yè)一直在隔離一些關鍵或高風險資源。
Westervelt說,例如,網(wǎng)絡分段在零售領域很普遍。許多商家將其支付環(huán)境與其他網(wǎng)絡流量隔離開來,以減少支付卡行業(yè)數(shù)據(jù)安全標準(PCIDSS)的范圍,該標準旨在確保企業(yè)接受、處理、存儲或傳輸信用卡信息的一組安全標準維持安全的環(huán)境。
Westervelt說:“這并不是萬無一失的,因為正如我們在零售商Target公司的數(shù)據(jù)泄露中所看到的那樣,網(wǎng)絡攻擊者可以找到從一個系統(tǒng)跳到另一個系統(tǒng)的方法。這樣做需要更多的技巧和資源;足以挫敗許多出于經(jīng)濟動機的攻擊者。但這是可以做到的。”
Westervelt表示,多年來,Target公司數(shù)據(jù)泄露的細節(jié)一直讓人困惑。她說:“網(wǎng)絡攻擊者使用被竊取的憑證來訪問Target公司用來支付其暖通空調(diào)供應商的承包商計費系統(tǒng)。網(wǎng)絡攻擊者在那里訪問網(wǎng)絡,并橫向移動到POS(銷售點)系統(tǒng)。”
Westervelt表示,微分段還可用于隔離虛擬環(huán)境中的關鍵應用程序工作負載。她說:“通過微分段這種方式,企業(yè)可以對關鍵工作負載設置更嚴格的控制,并密切監(jiān)視訪問和更改。”
微分段技術也被認為是工業(yè)控制系統(tǒng)環(huán)境中的最佳實踐。Westervelt說:“企業(yè)可以使用工業(yè)防火墻和單向網(wǎng)關隔離分配給敏感過程的關鍵可編程邏輯控制器。”
在IT環(huán)境中,可以對具有全球互聯(lián)網(wǎng)連接的新部署的運營技術(OT)進行分段,以防止網(wǎng)絡攻擊者將其用作生產(chǎn)系統(tǒng)的過渡平臺或墊腳石。這就是微分段與物聯(lián)網(wǎng)相關的地方。
Westervelt說:“這些運營技術(OT)技術包括現(xiàn)代建筑管理系統(tǒng)、太陽能電池板、電梯傳感器以及包括滅火系統(tǒng)在內(nèi)的物理安全機制。目前,這并不是一個重要的領域,但是我們看到一些大型銀行和金融服務公司減輕了數(shù)據(jù)中心設施中與這些運營技術(OT)技術相關的風險。”
網(wǎng)絡專家說,將微分段作為廣泛的物聯(lián)網(wǎng)安全策略的一部分進行部署可能很有意義。
獨立信息安全顧問Kevin Beaver表示:“這種網(wǎng)絡模型可以對網(wǎng)絡系統(tǒng)進行更精細的控制,并在利用安全漏洞的情況下實現(xiàn)更好的隔離。這些好處不僅可以幫助改善安全可見性和控制力,而且還可以改善事件響應和取證。”
研究機構(gòu)Gartner公司分析師Jon Amato表示,“這項技術可能是從IT系統(tǒng)中分割物聯(lián)網(wǎng)網(wǎng)絡的一種非常有效的方法。微分段產(chǎn)品創(chuàng)建‘虛擬段’的能力非常有用,即使在多個物理位置,也能將設備類型彼此分離。”
Amato說,這也與美國國土安全部(DHS)等組織的物聯(lián)網(wǎng)安全指南非常吻合。美國國土安全部(DHS)在其《確保物聯(lián)網(wǎng)安全的戰(zhàn)略原則》報告中建議組織權(quán)衡連通性的好處與它帶來的風險:“鑒于物聯(lián)網(wǎng)設備的使用以及與物聯(lián)網(wǎng)設備中斷相關的風險,物聯(lián)網(wǎng)用戶(尤其是在工業(yè)環(huán)境中)應慎重考慮是否需要連續(xù)連接。物聯(lián)網(wǎng)消費者還可以通過謹慎而有意識地進行連接,并權(quán)衡物聯(lián)網(wǎng)設備潛在的破壞或故障風險與限制連接到互聯(lián)網(wǎng)的成本,幫助遏制網(wǎng)絡連接帶來的潛在威脅。”
Amato表示,微分割非常符合此建議。他說:“僅創(chuàng)建一個物聯(lián)網(wǎng)細分市場(還遠遠不夠,還需要將這些設備彼此分割開來。而且,大多數(shù)物聯(lián)網(wǎng)設備缺少基于主機的控制,因此企業(yè)只能使用微分段等外部解決方案來完成這一任務。”
物聯(lián)網(wǎng)安全的微分段發(fā)展緩慢
Amato表示,盡管具有潛在的優(yōu)勢,但迄今為止,似乎還沒有廣泛采用微分段技術來實現(xiàn)物聯(lián)網(wǎng)安全。
Amato說,“我所看到的是,只有已經(jīng)擁有成熟的物聯(lián)網(wǎng)安全計劃的組織才能通過實施微分段或?qū)⑵洮F(xiàn)有程序擴展到物聯(lián)領域來建立這種基礎。”
Amato說,“對于大多數(shù)組織來說,將IT和物聯(lián)網(wǎng)彼此分開只是他們現(xiàn)在所能做到的最好事性。有時候,企業(yè)可以做的最好的事情必須足夠好。而且我聽到很多組織都在談論它。但是,在研究使物聯(lián)網(wǎng)全部工作所需的努力水平之后,實際上進行物聯(lián)網(wǎng)微分段的企業(yè)要少得多。”
Beaver說,對于構(gòu)建物聯(lián)網(wǎng)基礎設施的企業(yè)來說,重要的是要考慮他們是否真的需要對物聯(lián)網(wǎng)安全進行微分段。
Beaver說,“企業(yè)必須確定當前的風險級別和業(yè)務流程,每一項新技術或控制都會帶來意想不到的后果。與零信任模型相關的額外復雜性是否會影響企業(yè)的安全計劃,從而否定任何可感知的好處?”
一個更好的做法是徹底了解物聯(lián)網(wǎng)將如何影響企業(yè)中的所有網(wǎng)絡,以便確定確保數(shù)據(jù)安全傳輸?shù)淖罴逊椒ā?/div>
Beaver說,“制定安全標準和政策,不僅是可執(zhí)行的,而且包括實際執(zhí)行的物聯(lián)網(wǎng)。如果以基于風險的角度進行處理,并希望將網(wǎng)絡復雜性降至最低,那么也許就能夠控制其物聯(lián)網(wǎng)環(huán)境。”
京公網(wǎng)安備 11010502049343號