在新的一年到來的時候，安全行業(yè)的人士總在問這些問題：在未來一年面臨的安全挑戰(zhàn)是否與往年有所不同?企業(yè)是否應(yīng)該改變防御策略，尤其是在運(yùn)營技術(shù)(OT)、物聯(lián)網(wǎng)(IoT)和關(guān)鍵基礎(chǔ)設(shè)施組件方面?

 

安全廠商N(yùn)ominet公司網(wǎng)絡(luò)安全副總裁Stuart Reed表示：“在網(wǎng)絡(luò)安全的總體趨勢中，我們看到的是，這里一直都是一個充滿活力的地方，但現(xiàn)在網(wǎng)絡(luò)攻擊沒有界限。”他解釋說，那些針對運(yùn)營技術(shù)(OT)跨越邊界的網(wǎng)絡(luò)攻擊可能會產(chǎn)生超出IT系統(tǒng)之外，甚至對人類的生命和安全產(chǎn)生直接影響。

 

運(yùn)營技術(shù)(OT)和物聯(lián)網(wǎng)(IoT)設(shè)備的安全性工作很復(fù)雜，而運(yùn)營技術(shù)(OT)和物聯(lián)網(wǎng)(IoT)的設(shè)計安全性目前不是IT系統(tǒng)的標(biāo)準(zhǔn)。Reed說：“許多控制系統(tǒng)和運(yùn)營技術(shù)(OT)基礎(chǔ)設(shè)施從來沒有設(shè)計過以數(shù)字方式連接到其他任何地方。”他解釋說，但是數(shù)字化的持續(xù)發(fā)展趨勢意味著很少有運(yùn)營技術(shù)(OT)系統(tǒng)可以長期隔離網(wǎng)絡(luò)攻擊。

 

隨著網(wǎng)絡(luò)犯罪分子和激進(jìn)國家的網(wǎng)絡(luò)威脅不斷發(fā)展，安全團(tuán)隊?wèi)?yīng)采取哪些步驟來保護(hù)其組織擁有的運(yùn)營技術(shù)(OT)和物聯(lián)網(wǎng)(IoT)系統(tǒng)?網(wǎng)絡(luò)安全專家對如何應(yīng)對2020年物聯(lián)網(wǎng)威脅提出了一些建議。他們希望在未來一年無論威脅環(huán)境如何變化，都確保其運(yùn)營技術(shù)(OT)系統(tǒng)盡可能安全。以下是網(wǎng)絡(luò)安全專家提出的七個安全注意事項(xiàng)：

 

1.注意邊緣

 

nVisium公司首席執(zhí)行官Jack Mannino說：“隨著邊緣計算和分布式傳感器網(wǎng)絡(luò)的增長，云計算基礎(chǔ)設(shè)施和邊緣設(shè)備成為網(wǎng)絡(luò)攻擊者越來越關(guān)注的目標(biāo)。使邊緣設(shè)備不受攻擊者控制的關(guān)鍵是采用混合方法來解決問題。”

 

Mannino說，“邊緣計算需要采用混合云方法，其中邊緣設(shè)備和云計算服務(wù)必須在每一層建立信任。用戶決定如何建立信任并成為業(yè)務(wù)流程的一部分，首先要詳細(xì)分析邊緣設(shè)備如何生成數(shù)據(jù)、生成什么類型的數(shù)據(jù)，以及將數(shù)據(jù)傳輸?shù)綉?yīng)用程序基礎(chǔ)架構(gòu)的其余部分的過程。”

 

就像傳統(tǒng)的IT攻擊者通常選擇用戶作為進(jìn)入網(wǎng)絡(luò)的方式一樣，那些想要破壞企業(yè)物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)攻擊者可能會看到邊緣設(shè)備托管最簡單的進(jìn)入端口，這使用戶將注意力集中在網(wǎng)絡(luò)中心上，忽視了邊緣上比較脆弱的設(shè)備。

 

2.安全培訓(xùn)

 

Reed說，盡管惡意軟件和基于物聯(lián)網(wǎng)的攻擊變得越來越復(fù)雜，但成功進(jìn)行攻擊并不需要高度復(fù)雜的技術(shù)。他解釋說：“如果人們不了解自己在良好的網(wǎng)絡(luò)衛(wèi)生中所扮演的角色和責(zé)任，那么可能會發(fā)生一些非常基本的攻擊。”

 

這些角色和職責(zé)包括一些顯而易見的要點(diǎn)，比如不要點(diǎn)擊來自未知或意外來源的附件，但它們遠(yuǎn)遠(yuǎn)超出了這些基本要求。畢竟，保護(hù)重要的數(shù)據(jù)和基礎(chǔ)設(shè)施，Information Security Forum常務(wù)董事Steve Durbin表示：“首先要求最終用戶接受數(shù)據(jù)需要保護(hù)的理念。由于有著不同的社會規(guī)范，涉及數(shù)據(jù)的公認(rèn)價值，因此需要保護(hù)數(shù)據(jù)，以及誰應(yīng)該首先負(fù)責(zé)保護(hù)數(shù)據(jù)。”

 

Reed說，最大限度地降低員工行為風(fēng)險的關(guān)鍵是安全教育和培訓(xùn)。他解釋說：“除了培訓(xùn)課程，我認(rèn)為安全教育可以采取多種不同的形式。例如在線媒體在更廣闊網(wǎng)絡(luò)安全教育方面扮演著非常關(guān)鍵的角色。”

 

3.物聯(lián)網(wǎng)的可見性

 

與安全專家進(jìn)行對話時，一個共同的主題是需要更好地了解用戶的網(wǎng)絡(luò)和基礎(chǔ)設(shè)施。這種需求不會隨著傳統(tǒng)IT和物聯(lián)網(wǎng)設(shè)備之間的劃分而停止。

 

Thycotic公司首席安全科學(xué)家Carson說：“如果沒有物聯(lián)網(wǎng)設(shè)備及其帶來的風(fēng)險，就無法確定物聯(lián)網(wǎng)數(shù)據(jù)的潛在安全和隱私風(fēng)險。要了解物聯(lián)網(wǎng)設(shè)備的風(fēng)險，用戶首先想知道其功能或用途，例如是數(shù)據(jù)收集器、數(shù)據(jù)處理器還是數(shù)據(jù)相關(guān)器。在確定作為基礎(chǔ)設(shè)施的一部分的設(shè)備之后，了解功能是第二步。”

 

安全專業(yè)人員在提高其整體基礎(chǔ)設(shè)施的物聯(lián)網(wǎng)的可見性方面應(yīng)該做些什么?nVisium公司Mannino說，“這項(xiàng)工作應(yīng)該從對物聯(lián)網(wǎng)設(shè)備等資產(chǎn)的架構(gòu)藍(lán)圖進(jìn)行一致的安全分析，以找出缺失和設(shè)計錯誤的架構(gòu)控制，并在允許的情況下采用一致的安全代碼分析。”

 

4.消費(fèi)者設(shè)備問題

 

如果用戶有一個網(wǎng)絡(luò)，則很有可能將消費(fèi)類設(shè)備連接到基礎(chǔ)設(shè)施。企業(yè)員工已將消費(fèi)類設(shè)備作為日常生活的一部分，大多數(shù)員工都不愿意放棄這些設(shè)備的優(yōu)勢。Durbin說，“當(dāng)這些消費(fèi)者工作時，他們也希望將這些功能強(qiáng)大的設(shè)備用于業(yè)務(wù)應(yīng)用，而在過去的幾年中，這導(dǎo)致組織與個人之間，個人信息與公開可用的詳細(xì)信息之間的界限越來越模糊。”

 

在許多情況下，問題并非始于員工使用自己的設(shè)備，而是始于許多消費(fèi)類設(shè)備在設(shè)計之初就并未被設(shè)計為安全的業(yè)務(wù)設(shè)備。此外，Dubirn說，“這些設(shè)備的使用方式模糊了個人和企業(yè)使用與行為之間的界限。其潛在的風(fēng)險包括濫用設(shè)備本身、外部利用軟件漏洞，以及部署未經(jīng)測試的、不可靠的業(yè)務(wù)應(yīng)用程序。”

 

在處理整個物聯(lián)網(wǎng)環(huán)境中可能涉及的云計算服務(wù)和物聯(lián)網(wǎng)設(shè)備時，安全專業(yè)人員需要積極與他們的供應(yīng)商和合作伙伴互動，以確保基本組件能夠安全使用。例如，Acceptto公司首席安全架構(gòu)師Fausto Oliveira表示，物聯(lián)網(wǎng)設(shè)備必須具有更改默認(rèn)用戶名和密碼的能力，以及與網(wǎng)絡(luò)中上游和下游系統(tǒng)進(jìn)行加密通信的能力。Oliveira說：“企業(yè)需要供應(yīng)商提供強(qiáng)有力的指導(dǎo)，并確保在選擇過程中，安全是一項(xiàng)明確定義的功能。”他表示，這符合供應(yīng)商及其用戶的最大利益，以確保整個系統(tǒng)盡可能安全。

 

5.物聯(lián)網(wǎng)連接安全性

 

當(dāng)然會有一些小型組織(以及高度安全的政府或軍事機(jī)構(gòu))的物聯(lián)網(wǎng)設(shè)備不包含互聯(lián)網(wǎng)連接。但是對于大多數(shù)組織而言，移動、分析和使用其邊緣設(shè)備中的數(shù)據(jù)意味著將設(shè)備連接到全球互聯(lián)網(wǎng)和一個或多個云計算服務(wù)。nVisium公司的Mannino指出，“隨著邊緣計算和分布式傳感器網(wǎng)絡(luò)的增加，云計算基礎(chǔ)設(shè)施和邊緣設(shè)備已成為一種趨勢。而這對于網(wǎng)絡(luò)攻擊者來說越來越有吸引力。”

 

Vectra公司安全分析主管Chris Morales簡潔地解釋了這一點(diǎn)。他說，“與傳統(tǒng)的桌面系統(tǒng)不同，物聯(lián)網(wǎng)設(shè)備需要確保存儲和鎖定的數(shù)據(jù)不會被窺視，物聯(lián)網(wǎng)設(shè)備被設(shè)計為彼此共享信息，并共享到遠(yuǎn)程存儲位置進(jìn)行分析，并為企業(yè)提供對其數(shù)據(jù)的遠(yuǎn)程訪問。這通常需要物聯(lián)網(wǎng)設(shè)備制造商托管的云存儲。”

 

在處理可能涉及整個物聯(lián)網(wǎng)環(huán)境的云計算服務(wù)和物聯(lián)網(wǎng)設(shè)備時，安全專業(yè)人員需要積極與其供應(yīng)商和合作伙伴接洽，以確保基本組件能夠安全使用。例如，Acceptto公司首席安全架構(gòu)師Fausto Oliveira表示，設(shè)備必須能夠更改默認(rèn)用戶名和密碼，以及與網(wǎng)絡(luò)上下游系統(tǒng)進(jìn)行加密通信的能力。他說，“組織需要向供應(yīng)商提供強(qiáng)有力的指導(dǎo)，并確保在選擇過程中，安全性是一個明確定義的特性，是不可選擇的，確保整個系統(tǒng)盡可能安全符合供應(yīng)商和客戶的最大利益。”

 

6.專注于物聯(lián)網(wǎng)設(shè)備敏捷性

 

物聯(lián)網(wǎng)的兩個特點(diǎn)使擴(kuò)展運(yùn)營技術(shù)(OT)變得如此脆弱，這就是大量物聯(lián)網(wǎng)設(shè)備的不可改變的特性。易受攻擊、靜態(tài)和持久性并不是大多數(shù)專業(yè)人員在安全基礎(chǔ)設(shè)施中需要的特性。

 

Acceptto公司的Oliveira說：“需要取消默認(rèn)用戶名和密碼以及不安全的協(xié)議(如telnet)，并采用更好的方法來實(shí)現(xiàn)可管理性，而無需使用易于妥協(xié)的默認(rèn)帳戶和不安全的協(xié)議。”他堅持認(rèn)為，僅向供應(yīng)商強(qiáng)調(diào)他們的設(shè)備必須允許更改默認(rèn)憑據(jù)和協(xié)議是不夠的。用戶必須將這些作為購買設(shè)備的要求。

 

Oliveira說：“物聯(lián)網(wǎng)設(shè)備需要被視為任何安全資產(chǎn)，因此需要定期管理和審核漏洞。”Nominet的Reed也對此表示認(rèn)同，他說，“全面的從業(yè)人員必須確保他們具有正確的審核、控制、政策，以便能夠放心地了解與他們合作的第三方，并且采取更好的安全措施。”

 

他們都承認(rèn)，如果無法重新配置基礎(chǔ)設(shè)施中的設(shè)備來解決漏洞，那么可靠的審核和監(jiān)視的影響將會非常有限。

 

7. 無情數(shù)據(jù)

 

物聯(lián)網(wǎng)的數(shù)據(jù)生成能力需要符合歐盟的《通用數(shù)據(jù)保護(hù)條例》和最新的《加州消費(fèi)者隱私法》等法規(guī)的要求。因此，Vectra公司的Morales說，“企業(yè)需要更加注意設(shè)備收集的數(shù)據(jù)類型以及如何使用這些數(shù)據(jù)。”他指出，在攝像頭、GPS跟蹤系統(tǒng)和傳感器跟蹤業(yè)務(wù)的每個階段生成數(shù)據(jù)的時代，保護(hù)個人隱私對于保護(hù)用戶信息自由至關(guān)重要。

 

Morales說：“物聯(lián)網(wǎng)設(shè)備旨在相互共享信息，并共享給遠(yuǎn)程存儲位置以進(jìn)行分析，并為企業(yè)提供對其數(shù)據(jù)的遠(yuǎn)程訪問。而且，數(shù)據(jù)必須在設(shè)備中以及從業(yè)務(wù)流程的一個階段轉(zhuǎn)移到另一個階段時都受到保護(hù)。”

 

Acceptto公司的Oliveira說，“與設(shè)備之間的所有通信都必須加密，并且在理想情況下，數(shù)據(jù)流量必須受基于場景和基于角色的訪問控制，除非在特殊的情況下，否則沒有理由讓設(shè)備可以通過全球互聯(lián)網(wǎng)進(jìn)行連接。”

 

要了解如何將“無情數(shù)據(jù)”應(yīng)用到物聯(lián)網(wǎng)的各個部分，首先要了解基礎(chǔ)設(shè)施及其啟用的業(yè)務(wù)流程。Thycotic公司的Carson說：“如果沒有物聯(lián)網(wǎng)設(shè)備帶來的風(fēng)險，就無法確定其數(shù)據(jù)的潛在安全性和隱私風(fēng)險。在了解物聯(lián)網(wǎng)設(shè)備的作用以及與之相關(guān)的數(shù)據(jù)后，就可以評估采用物聯(lián)網(wǎng)設(shè)備帶來的風(fēng)險。”

 

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。