考慮到物聯(lián)網(wǎng)設(shè)備固有的不安全性,企業(yè)當(dāng)今面臨更多的威脅,而安全防御措施薄弱的物聯(lián)網(wǎng)設(shè)備通常作為第一道防線。這尤其令人擔(dān)憂,因為在行業(yè)調(diào)查中,有94%的首席信息官承認(rèn),他們的運營環(huán)境將在未來一年內(nèi)面臨一些嚴(yán)重威脅。
從以下這些擔(dān)憂中可以看出:
•將近一半的首席信息官將違規(guī)視為最大的風(fēng)險。
•39%的首席信息官認(rèn)為惡意軟件和勒索軟件是他們面臨的最大風(fēng)險。
•27%的首席信息官表示恢復(fù)力是三大優(yōu)先事項之一。
•68%的IT和安全專業(yè)人員計劃使用零信任來確保設(shè)備安全;42%的受訪者表示已經(jīng)在這樣做。
一些影響物聯(lián)網(wǎng)的具體風(fēng)險包括:
(1)內(nèi)置漏洞:物聯(lián)網(wǎng)設(shè)備通常專門為消費者使用,沒有采用企業(yè)級加密或安全控制措施。
(2)基于人工智能的攻擊:基于機器人的攻擊越來越善于模仿用戶行為,更容易突破許多物聯(lián)網(wǎng)設(shè)備較弱的安全防御措施。
(3)訪問控制中的Deepfakes:現(xiàn)在能夠?qū)κ謾C上的指紋生物特征進行暴力破解。
(4)更復(fù)雜的攻擊方法:隨著攻擊者開始專注于某些領(lǐng)域(社交工程和圖形設(shè)計),對物聯(lián)網(wǎng)的攻擊將變得更先進,更難防御。
(5)隱藏的民族國家攻擊:由于物聯(lián)網(wǎng)設(shè)備防御不力導(dǎo)致成功的網(wǎng)絡(luò)攻擊,民族國家將越來越多地雇用網(wǎng)絡(luò)攻擊者來利用物聯(lián)網(wǎng)設(shè)備滲透并訪問更重要的設(shè)施。
考慮到2025年底全球使用的物聯(lián)網(wǎng)設(shè)備將超過640億臺,如果不保護構(gòu)成物聯(lián)網(wǎng)中的所有設(shè)備,就不可能保護企業(yè)的業(yè)務(wù)安全,并實現(xiàn)零信任環(huán)境。
為什么設(shè)備的零信任很重要
調(diào)研機構(gòu)Gartner公司預(yù)測,到2025年,99%的云安全故障都是客戶導(dǎo)致的。這意味著保護與其連接的設(shè)備的責(zé)任完全由用戶自己承擔(dān)。
為此企業(yè)可以建立基于身份的零信任策略。美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)將零信任定義為“一系列概念和想法,旨在在信息系統(tǒng)和服務(wù)中面對被視為受損的網(wǎng)絡(luò)時,最大限度地減少執(zhí)行準(zhǔn)確的和最低權(quán)限的訪問決策的不確定性。”
在以身份為中心的方法中,人員和機器身份是安全策略創(chuàng)建的核心,具有基于分配屬性的訪問控制和策略。在這種情況下,訪問企業(yè)數(shù)據(jù)和資源的主要要求是基于授予請求用戶或機器的訪問權(quán)限。因此,零信任是基于驗證請求機器身份的加密控制建立的。
保護物聯(lián)網(wǎng)設(shè)備是確保云訪問安全的關(guān)鍵
數(shù)據(jù)和隱私專家Ambler Jackson解釋說:“如果網(wǎng)絡(luò)犯罪分子破壞設(shè)備并獲得企業(yè)云計算環(huán)境的訪問權(quán),他們可以竊取數(shù)據(jù)、進行勒索軟件攻擊或進行惡意軟件活動。為了防止這種情況,企業(yè)必須能夠看到所有連接的設(shè)備,并能夠在允許訪問云計算資源之前驗證其身份。”
正如Venafi公司安全專家Ivan Wallis所說,“在云計算平臺等按需使用的環(huán)境中,零信任引導(dǎo)系統(tǒng)需要一開始就擁有身份。在這種以機器為中心的世界中,人員作為檢查點沒有意義,這是因為人們不能再粗略地假設(shè)應(yīng)該信任哪些外部系統(tǒng)。從這個意義上說,零信任自動假定機器上不允許給定的活動,除非它在用戶和功能可接受的安全參數(shù)范圍內(nèi)。”
因此,基于安全數(shù)字身份(而非一般外部系統(tǒng))的信任成為在云平臺中和整個生態(tài)系統(tǒng)中建立真正零信任的關(guān)鍵。
用于物聯(lián)網(wǎng)設(shè)備的機器身份識別與訪問管理(IAM)
Jackson說,“為了實施零信任戰(zhàn)略,擁有成熟網(wǎng)絡(luò)安全計劃的企業(yè)需要使用機器身份管理。驗證設(shè)備或機器的身份是保護對企業(yè)資源訪問的基礎(chǔ),其中包括在云中處理數(shù)據(jù)的工作負(fù)載。”在當(dāng)今的威脅經(jīng)濟中,沒有機器身份管理就不可能實現(xiàn)零信任。
在每個物聯(lián)網(wǎng)設(shè)備中都有數(shù)以千計的機器身份或因素來確定其身份以及是否可以信任它。正如安全專家David Bisson所說,“機器身份識別與訪問管理(IAM)可以幫助企業(yè)評估他們對機器身份的信任程度,其中包括憑據(jù),例如機密、加密密鑰、X.509和代碼簽名證書以及SSH鑰匙。”
Wallis表示,加密密鑰和數(shù)字證書用于識別機器并確定特定的信任級別。但這只有在有辦法確保這些機器身份的完整性時才有效。
全面的機器身份管理策略允許安全團隊:
•實現(xiàn)所有已經(jīng)部署機器身份的可見性。
•確保所有權(quán)和治理。
•保護相關(guān)的加密密鑰。
•自動分配密鑰
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號