Phenix Energy Group公司正在整個中美洲構建原油管道,該公司首席運營官兼代理首席信息官Perrin希望整合“物聯網”到“所有可以想象的環境”。這意味著,不再是員工帶著鑰匙卡或PIN碼在整個建筑物中走動,樓宇訪問將通過面部識別軟件來控制。
Perrin認為,企業物聯網是提高運營效率和減少人為錯誤的關鍵。對于該公司而言,這些目標有些緊急,該公司需要在18個月內鋪設220英里陸地和海底 管道,以及在6個月內構建其支持的油庫。除了時間期限的壓力外,還不允許有一點閃失。Perrin估計,每分鐘的停機將讓該公司損失1.8萬美元。全面的 系統故障將需要9個小時才能恢復,而這將讓該公司收入損失900萬美元。
“我們希望在重復工作中剔出人類的因素,”Perrin表示,“這就是說讓重復的工作自動進行,讓我可以完成真正的工作。”
但即使作為物聯網最大的冠軍之一,Perrin敏銳地意識到增加數百非傳統設備到其網絡的風險——設備運行不同的操作系統,使用任意數量的專有協議,并且通常沒有資源支持高級安全配置。這些擔憂塑造了他的網絡設計和采購策略。
“我們正在采取沙箱的做法,可能達到幾乎不合邏輯的程度,”Perrin稱,“但首席執行官有天對我說,‘如果人們進來這里,并開始亂弄我們的系統,我們 做的第一件事情就是把你的頭釘在墻上,然后用別人去替代你。’我不喜歡這種想法,他是個好人,但我可不想被他釘在墻上。”
在消費者市場的“嚇人的事故”包括攻擊嬰兒監視器、攻擊聯網汽車以及對智能家庭的意外拒絕服務攻擊,隨著IT部門將這些物聯網項目轉移到其實驗室和生產環境,有關企業物聯網安全風險的討論越來越多。
根據Verizon2015年數據泄露事故調查報告指出,現在已經發生了針對企業的“不廣為人知的物聯網設備數據泄露事故”,該報告稱到目前為止報告的漏 洞都已經被研究人員發現。然而,物聯網迅速移動的性質以及更廣泛的威脅形式意味著,這可能在任何時刻發生改變。網絡專業人員稱他們很擔心,在參與 TechTarget2015年采購意向調查的受訪者中,60%認為安全是IoT面臨的最大挑戰之一。
Phenix Energy公司首席治理官John Becker表示,IoT威脅的嚴重程度已經大大言過其實,但這并沒有阻止Phenix等公司加強其安全努力。
“我們看到很多關于IoT的新聞真的是危言聳聽,”Becker說道,“我認為底線是我們需要關注系統是如何設計的。”
危險在哪里?
人們很容易這樣看待IoT:燈泡或HVAC系統不能運行防病毒軟件,所以IoT一定有風險。但信息安全培訓和認證公司SANS研究所主管John Pescatore表示,這是一個過于簡單的觀點。
“你知道還有什么不能運行防病毒軟件嗎?iPhone,而且iPhone沒有感染病毒,”Pescatore稱,“因此,每當你聽到有人說,‘噢,你不能 在那上面運行防病毒軟件,’你應該說,‘是的!’因為這通常意味著病毒也不會在上面運行,因為防病毒軟件本質上是一個工具包。”
在某些情況下,IoT設備在設計前期就有考慮安全因素,這是比電腦和服務器原有操作系統設計時更深思熟慮的做法。
雖然企業IoT設備可能最終成為吸引攻擊者的目標,但這并不是因為他們想要打開和關閉燈光。
“我會擔心HVAC或傳感器本身作為攻擊切入點——讓攻擊者可以進來并攻擊我的系統,”啤酒分銷商Del Papa Distributing公司IT副總裁Steve Holtsclaw表示,“任何有IP地址的東西都可能以某種方式被攻擊。”該公司已經在其倉庫和卡車內部署了IoT設備。
IDC公司研究主管Pete Lindstrom表示,這些威脅無法通過傳統安全方法來緩解。
“我們陷入框架控制,但我們在打之前的戰役,這是一個不同的環境,”Lindstrom表示,“我們需要對后端進行更好的分析。”
這意味著所有目光都聚集在網絡,希望網絡來發揮引領作用。
“我們常說,‘你們必須使用這個操作系統,而由于你使用那個操作系統,我認為你需要使用這個安全軟件。’在物聯網時代,這種日子已經結束,”Pescatore表示,“當你不能把任何東西放在終端時,你可以從網絡做更多的安全操作。”
可見性和管理挑戰
你需要知道你網絡上有什么才能保護它們。這聽起來很簡單,但對于很多IT部門來說,找到和關閉流氓設備是無休止的工作,而物聯網更是增加了工作難度,因為很多漏洞管理系統可以識別“Bob的iPad”或“Carol的戴爾筆記本電腦”,但無法識別聯網的空調或門鎖。
Pescatore稱:“在物聯網中,大家需要解決的第一個問題是能夠發現這些設備。”
他最近采訪了新英格蘭大學的首席信息安全官,該CISO發現在該大學剛搬進的建筑物中有300個流氓設備。他的漏洞掃面軟件無法識別這些終端,他的團隊手動追蹤這些終端,并發現它們大多數是以前的房客留下的聯網設備,例如溫度傳感器和攝像頭。
“不幸的是,大多數現在做的工作都是‘不要問,不會說’,有點像Wi-Fi的早期時候。這就像,‘天哪,如果我開始尋找,我會發現某個東西,然后我必須做 一些工作,’”Pescatore表示,“那些在BYOD安全做得最好的企業實際上也能夠確保物聯網的最佳安全性,因為他們采用某種形式的網絡接入控制, 當設備連接到其網絡時,他們可以檢測得到。”
除了缺乏可視性外,還有另一個問題:物聯網設備制造商本身之間的差異化。
美國休斯頓衛理公會醫院無線網絡架構師George Stefanick對在醫療環境使用物聯網的可能性很感興趣。他的團隊正在對一款移動應用進行概念證明,該應用可使用藍牙信標和Wi-Fi來識別病人到達醫院、檢查他到達約定地點,并給他提供到其醫生辦公室的導航。
盡管建立網絡來支持這些舉措具有挑戰性,但這是Stefanick熟悉的領域。更大的障礙是評估和管理各種物聯網平臺。
“我們不應該使用來自10個不同供應商的10種不同設備,但現在正是這樣,”他說道,“我們真的希望在單窗格管理這些設備。”
與PC和智能手機操作系統市場不同,IoT平臺預計不會整合。其結果是:企業越來越難以采用統一的安全方法。
“每個供應商都有專用通信方法,并且,為了與其他公司的組件競爭,他們必須開放其部分功能來與其他設備通信,”Phenix Energy公司的Perrin表示,“這會帶來很多漏洞,因為每次你打開某個事物的端口,你就等于打開一個門讓攻擊者可以進來。”
Del Papa公司的Holtsclaw運行的企業IoT環境主要基于思科的設備,但他也同樣在關注這個問題。
“你使用所有這些設備,它們運行在各種平臺——Linux、Unix、Windows、Android、iOS,并且,它們都在使用不同類型的通信協議,”他表示,“你如何控制這一切?你如何管理?如何確保安全性?”
通過網絡解決IoT安全
IoT帶來了新的挑戰,但網絡安全領域很多經典的最佳做法仍然適用,包括分隔、基于區域的政策和關閉雜散端口,其他措施則取決于企業的風險承受能力以及 IT部門的文化。現在管理IoT環境的企業需要從各種角度來解決威脅,包括從專注于身份驗證標準到完全鎖定第三方網絡設備的使用戰略等。
在休斯頓衛理公會醫院,Stefanick發現IoT供應商對802.1x的支持不一致,這是使用可擴展身份驗證協議(EAP)的企業級無線身份驗證標準。作為一位無線工程師,他發現使用802.1x的IoT設備。
“當你看到這些涌入的物聯網設備,我們發現他們都在使用預共享密鑰,”Stefanick稱,“我們實際上不得不創建測試網絡進行概念證明,這種方式并不 是很安全。我們的反饋是,‘我們不可能購買這個東西,除非你能提高安全性,并且,我們需要EAP身份驗證來做到這一點。’”
IoT設備制造商需要告知企業其產品與網絡的交互方式。
在看到供應商兜售所謂的具有消費級安全功能的企業設備后,Perrin采取了同樣謹慎的態度,并且,與Stefanick一樣,Perrin也避免使用云計算方式來維持更嚴格的控制。
而Phenix公司則采取了更積極的做法,其位于Honduras的辦公室和數據中心通過10 Gbps私有光纖連接到Palm港的冗余站點。在Honduras辦公室只有兩個端口開放:一個用于電話,另一個用于基于互聯網的業務活動。Perrin 還阻止了網絡釣魚活動率高的國家(例如巴西)的所有流量。
“我們正在進行有效地切斷,我們已經看到企業過來說,‘我們與你們合作的唯一方式是你為我們打開一個端口,’我們告訴他們,‘感謝您的光纜,請不要再來打擾我們,’”他表示,“我們不會為他們打開端口,因為我們不能冒這個險。”
Perrin也不會在工業設備和物聯網設備所在的管道使用銅纜。
“我們使用光纖是因為你不能通過切斷它來制造破壞,”他表示,“當然,切斷會立即告訴我們的系統和物聯網設備發生了異常情況,并且會立即關閉流經該管道以及冗余光纖鏈接的數據流。”
在Del Papa,聯網的傳感器監控照明、庫存和問題——降低電力成本,并確保啤酒的庫存和冷卻正常。在倉庫貨架的傳感器會檢測某處是否庫存偏低,這會觸發電子郵件警報來增加庫存。該公司卡車中的其他傳感器則可配置為報告員工是否在超速駕駛。
面對這么多關鍵操作,Holtsclaw表示,安全仍然是一個巨大的問題。他目前正在測試來自戴爾和英特爾的IoT網關,其功能是作為其IoT設備和互聯網之間的單個接入點。
“這可以防止外部流量進入網絡內的這些設備,并與網關通信,”Holtsclaw表示,“我認為這是IoT安全方面的關鍵因素。”
京公網安備 11010502049343號