物聯(lián)網(IoT)為企業(yè)帶來了一些巨大的好處,例如對企業(yè)資產和產品的性能有了更深入的了解,改進制造過程,以及更好的客戶服務。不幸的是,與物聯(lián)網相關的安全問題仍然是企業(yè)面臨的一個重大問題,在某些情況下,這可能會阻礙企業(yè)的物聯(lián)網應用。解決物聯(lián)網安全風險的一個可行方案是微分段。專家表示,這是一種網絡概念,可以幫助控制物聯(lián)網環(huán)境。
借助微分段,組織可以在其數(shù)據中心和云計算環(huán)境中創(chuàng)建安全區(qū)域,使它們能夠將工作負載彼此隔離并分別進行保護。在物聯(lián)網環(huán)境中,微分段可以使企業(yè)更好地控制設備之間發(fā)生的橫向通信數(shù)量的增長,從而繞過以外圍設備為中心的安全工具。
對于企業(yè)來說,將微分段技術應用于物聯(lián)網可能還為時過早。但業(yè)內觀察人士認為,物聯(lián)網部署有可能促使企業(yè)采用微分段技術,以實現(xiàn)比傳統(tǒng)防火墻更精細、更簡單的保護。
物聯(lián)網帶來新的安全風險
物聯(lián)網安全風險可能包括涉及連接設備本身,支持物聯(lián)網的軟件以及網絡的多種威脅。
隨著物聯(lián)網部署的增長,對安全的威脅也越來越大。根據研究機構波洛蒙研究所和風險管理服務商The Santa Fe Group的調查報告,自2017年以來,與物聯(lián)網相關的數(shù)據泄露事件急劇增加。使問題進一步復雜化的是,大多數(shù)組織并不了解其環(huán)境中或來自第三方供應商的每個不安全的物聯(lián)網設備或應用程序。波洛蒙研究所的研究表明,許多組織沒有解決或管理物聯(lián)網風險的集中責任制,并且大多數(shù)人認為他們的數(shù)據可能會在未來24個月內遭到破壞。
物聯(lián)網安全風險對于醫(yī)療保健等行業(yè)而言可能更高,因為設備會通過網絡收集和共享大量敏感信息。在研究機構Vanson Bourne公司調查的232個醫(yī)療保健組織中,有82%的組織表示,在過去一年中經歷了以物聯(lián)網為中心的網絡攻擊。當被要求確定醫(yī)療機構中最突出的漏洞在哪里時,網絡被引用頻率最高(50%),其次是移動設備和隨附的應用程序(45%),以及物聯(lián)網設備(42%)。
微分段如何幫助物聯(lián)網安全
微分段的設計是為了使網絡安全更精細。下一代防火墻、虛擬局域網(VLAN)和訪問控制列表(ACL)等其他解決方案提供了一定程度的網絡分段。但是,通過微分段,可能將策略應用于單個工作負載,以便更好地防止攻擊。因此,這些工具提供比虛擬局域網(VLAN)等服務更細粒度的流量分段。
軟件定義網絡(SDN)和網絡虛擬化的出現(xiàn),推動了微分段技術的發(fā)展。通過使用與網絡硬件分離的軟件,與軟件未與底層硬件分離相比,微分段更容易實現(xiàn)。
由于微分段提供了比諸如防火墻之類的面向周邊的產品更大的數(shù)據中心流量控制能力,因此它可以阻止攻擊者進入網絡進行破壞。
分段也有管理上的好處。研究機構IDC公司的物聯(lián)網安全分析師Robyn Westervelt表示,“如果可以正確實施微分段,則可以在物聯(lián)網設備和其他敏感資源之間添加一層安全保護,而不會在防火墻上造成漏洞。但是底層的基礎設施必須支持這種方法,并且可能需要安裝新的現(xiàn)代交換機、網關等。”
出于安全或隱私原因將網絡劃分為多個部分的概念并不新鮮。一段時間以來,企業(yè)一直在隔離一些關鍵或高風險資源。
Westervelt表示,例如,網絡分段在零售領域很普遍。許多商家將其支付環(huán)境與其他網絡流量隔離開來,以縮小支付卡行業(yè)數(shù)據安全標準(PCI DSS)的范圍,該標準旨在確保公司接受、處理、存儲或傳輸信用卡信息的一組安全標準維持安全的環(huán)境。
Westervelt說,“這并不是萬無一失的,因為正如我們在零售商Target公司的數(shù)據泄露事件中所看到的那樣,攻擊者可以找到從一個系統(tǒng)跳到另一個系統(tǒng)的方法。這樣做需要更多的技巧和資源;足以阻止許多出于經濟動機的攻擊者。但這是可以完成的。”
Westervelt說,多年來,Target公司數(shù)據泄露的細節(jié)一直令人困惑。她說,“攻擊者使用被盜的憑證來訪問Target公司用來支付其HVAC供應商的承包商計費系統(tǒng)。從那里,他們可以訪問網絡,并橫向移動到POS(銷售點)系統(tǒng)。”
Westervelt說,微分段還可以用于隔離虛擬環(huán)境中的關鍵應用程序工作負載。她說,“通過這種方式,企業(yè)可以對關鍵工作負載設置更嚴格的控制,并密切監(jiān)視訪問和更改。”
該技術也被認為是工業(yè)控制系統(tǒng)環(huán)境中的最佳實踐。她說,“組織可以使用工業(yè)防火墻和單向網關隔離分配給敏感過程的關鍵可編程邏輯控制器。”
在IT環(huán)境中,可以對具有全球互聯(lián)網連接的新部署的操作技術(OT)進行分段,以防止攻擊者將其用作生產系統(tǒng)的集結地或墊腳石。這就是微分段與物聯(lián)網相關的地方。
Westervelt說:“這些操作技術(OT)包括現(xiàn)代建筑管理系統(tǒng)、太陽能電池板、電梯傳感器以及包括滅火系統(tǒng)在內的物理安全機制。目前這并不是一個重要的領域,但是我們看到一些大型銀行和金融服務公司減輕了數(shù)據中心設施中與操作技術(OT)相關的風險。”
網絡專家說,將微分段作為廣泛的物聯(lián)網安全策略的一部分進行部署可能很有意義。
獨立的信息安全顧問Kevin Beaver表示:“這種網絡模型可以對網絡系統(tǒng)進行更精細的控制,并在利用安全漏洞的情況下實現(xiàn)更好的隔離。這些好處不僅可以幫助改善安全可見性和控制,而且還可以改善事件響應和取證。”
研究機構Gartner公司的分析師Jon Amato表示,“這項技術可能是從IT系統(tǒng)中分割物聯(lián)網網絡的一種非常有效的方法。微分段產品還具有創(chuàng)建虛擬分段的能力,這種虛擬分段可以將設備類型彼此分離,甚至跨越多個物理位置。”
Amato說,這也與美國國土安全部(DHS)等組織的物聯(lián)網安全指南保持一致。美國國土安全部(DHS)在其《確保物聯(lián)網安全的戰(zhàn)略原則》報告中提出了組織權衡連通性的好處與它帶來的風險:
報告說:“鑒于物聯(lián)網設備的使用以及與物聯(lián)網設備相關的風險,特別是在工業(yè)環(huán)境中,物聯(lián)網用戶應慎重考慮是否需要連接。物聯(lián)網消費者還可以通過謹慎連接,并權衡可能限制物聯(lián)網設備發(fā)生故障或限制連接到互聯(lián)網的成本,來幫助控制網絡連接所帶來的潛在威脅。”
Amato說,微分段非常符合此建議。他說,“僅創(chuàng)建一個物聯(lián)網細分市場還遠遠不夠,還需要將這些設備彼此分割開來。而且,大多數(shù)物聯(lián)網設備缺少基于主機的控件,因此企業(yè)只能使用微分段等解決方案來實現(xiàn)這一目標。”
物聯(lián)網安全的微細分發(fā)展緩慢
Amato說,盡管具有潛在的優(yōu)勢,但迄今為止,似乎沒有廣泛采用微分段技術來實現(xiàn)物聯(lián)網安全。
Amato說,“我所看到的是,只有那些已經擁有成熟的物聯(lián)網安全計劃的組織才能實現(xiàn)微分段,或者將現(xiàn)有的程序擴展到物聯(lián)網領域。對于大多數(shù)組織來說,將IT和物聯(lián)網彼此分開只是他們現(xiàn)在可以做的最好的事情,在研究使物聯(lián)網全部工作所涉及的工作水平之后,實際上進行物聯(lián)網微分段的企業(yè)要少得多。”
Beaver說,對于構建物聯(lián)網基礎設施的組織來說,重要的是要考慮他們是否真的需要對物聯(lián)網安全進行微分段。
Beaver說,“企業(yè)必須確定當前的風險級別和業(yè)務流程,每一項新技術或控制都會帶來意想不到的后果。與零信任模型相關的其他復雜性是否會以抵消可察覺的利益的方式影響企業(yè)的安全計劃?”
一個很好的做法是徹底了解物聯(lián)網如何影響企業(yè)中的所有網絡,以便確定確保數(shù)據安全傳輸?shù)淖罴逊椒ā?/div>
Beaver說,“企業(yè)實際上可以強制執(zhí)行(包括物聯(lián)網)的安全標準和策略,如果企業(yè)以基于風險的觀點進行處理,并希望將網絡復雜性降到最低,那么可能就能夠控制其物聯(lián)網環(huán)境。”
版權聲明:本文為企業(yè)網D1Net編譯,轉載需注明出處為:企業(yè)網D1Net,如果不注明出處,企業(yè)網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號