如果將微分段作為物聯網安全策略的一部分進行部署,則可以對網絡進行更精細的控制,并在出現安全漏洞的情況下實現更好的隔離。
物聯網(IoT)可以為企業帶來了一些巨大的好處,例如對企業資產和產品的性能有了更深入的了解,改進制造過程,以及提供更好的客戶服務。不幸的是,與物聯網相關的棘手安全問題仍然是企業面臨的一個重大問題,在某些情況下,可能會使他們無法繼續推進計劃。微分段是解決一部分物聯網安全風險的一種解決方案,專家稱這是一種網絡概念,可幫助控制物聯網環境。
通過微分段,企業可以在其數據中心和云計算環境中創建安全區域,使他們能夠將工作負載彼此隔離并分別進行保護。在物聯網環境中,微分段可以繞過以外圍設備為中心的安全工具,從而使企業能夠更好地控制設備之間不斷增加的橫向通信量。
對于企業而言,將微分段用于物聯網仍處于競爭階段初期,但行業分析人士認為,物聯網部署的潛力可能促使企業采用微分段,以提供比傳統防火墻所能提供的更精細、更簡單的保護。
物聯網帶來新的安全風險
物聯網安全風險可能包括涉及物聯網設備本身、支持物聯網的軟件以及使所有連接成為可能的網絡的多種威脅。
隨著物聯網部署的增長,安全威脅也在增加。根據研究機構波洛蒙研究所和風險管理服務機構圣達菲集團(SantaFe Group)的報告,自2017年以來,與物聯網相關的數據泄露事件急劇增加。使問題進一步復雜化的是,大多數企業并不知道其環境中或第三方供應商提供的每個不安全的物聯網設備或應用程序。波洛蒙研究所的研究表明,許多企業沒有解決或管理物聯網風險的集中責任制,并且大多數企業認為他們的數據可能在未來兩年內泄露。
物聯網安全風險對于醫療保健等行業而言可能特別高,這是因為物聯網設備會通過網絡收集和共享大量敏感信息。在研究機構Vanson Bourne公司調查的232個醫療保健組織中,82%的受訪者表示,在過去一年中經歷了以物聯網為中心的網絡攻擊。當被要求確定醫療機構中最突出的漏洞存在的位置時,網絡被引用的頻率最高(50%),其次是移動設備和伴隨的應用程序(45%)和物聯網設備(42%)。
微分段如何為物聯網安全提供幫助
微分段旨在使網絡安全性更加精細。下一代防火墻、虛擬局域網(VLAN)和訪問控制列表(ACL)等其他解決方案提供了一定程度的網絡分段。但是通過微分段,可以將策略應用于單個工作負載,以提供更好的防御攻擊。結果,與VLAN等產品相比,這些工具可提供更細粒度的流量分段。
軟件定義網絡(SDN)和網絡虛擬化的出現,推動了微段技術的發展。通過使用與網絡硬件分離的軟件,與軟件未與底層硬件分離相比,分段更容易實現。
由于與防火墻等外圍產品相比,微分段技術能夠更好地控制數據中心的流量,因此它可以阻止攻擊者進入網絡進行破壞。
微分段也有利于管理。研究機構IDC公司的物聯網安全分析師Robyn Westervelt說:“如果可以正確地實現微分段,就可以在物聯網設備和其他敏感資源之間增加一層安全性,而不會在防火墻上造成漏洞。但底層基礎設施必須支持這種方法,可能需要安裝新的、現代化的交換機、網關等。”
出于安全或隱私的原因將網絡分成多個部分的概念并不新鮮。一段時間以來,企業一直在隔離一些關鍵或高風險資源。
Westervelt說,例如,網絡分段在零售領域很普遍。許多商家將其支付環境與其他網絡流量隔離開來,以減少支付卡行業數據安全標準(PCIDSS)的范圍,該標準旨在確保企業接受、處理、存儲或傳輸信用卡信息的一組安全標準維持安全的環境。
Westervelt說:“這并不是萬無一失的,因為正如我們在零售商Target公司的數據泄露中所看到的那樣,網絡攻擊者可以找到從一個系統跳到另一個系統的方法。這樣做需要更多的技巧和資源;足以挫敗許多出于經濟動機的攻擊者。但這是可以做到的。”
Westervelt表示,多年來,Target公司數據泄露的細節一直讓人困惑。她說:“網絡攻擊者使用被竊取的憑證來訪問Target公司用來支付其暖通空調供應商的承包商計費系統。網絡攻擊者在那里訪問網絡,并橫向移動到POS(銷售點)系統。”
Westervelt表示,微分段還可用于隔離虛擬環境中的關鍵應用程序工作負載。她說:“通過微分段這種方式,企業可以對關鍵工作負載設置更嚴格的控制,并密切監視訪問和更改。”
微分段技術也被認為是工業控制系統環境中的最佳實踐。Westervelt說:“企業可以使用工業防火墻和單向網關隔離分配給敏感過程的關鍵可編程邏輯控制器。”
在IT環境中,可以對具有全球互聯網連接的新部署的運營技術(OT)進行分段,以防止網絡攻擊者將其用作生產系統的過渡平臺或墊腳石。這就是微分段與物聯網相關的地方。
Westervelt說:“這些運營技術(OT)技術包括現代建筑管理系統、太陽能電池板、電梯傳感器以及包括滅火系統在內的物理安全機制。目前,這并不是一個重要的領域,但是我們看到一些大型銀行和金融服務公司減輕了數據中心設施中與這些運營技術(OT)技術相關的風險。”
網絡專家說,將微分段作為廣泛的物聯網安全策略的一部分進行部署可能很有意義。
獨立信息安全顧問Kevin Beaver表示:“這種網絡模型可以對網絡系統進行更精細的控制,并在利用安全漏洞的情況下實現更好的隔離。這些好處不僅可以幫助改善安全可見性和控制力,而且還可以改善事件響應和取證。”
研究機構Gartner公司分析師Jon Amato表示,“這項技術可能是從IT系統中分割物聯網網絡的一種非常有效的方法。微分段產品創建‘虛擬段’的能力非常有用,即使在多個物理位置,也能將設備類型彼此分離。”
Amato說,這也與美國國土安全部(DHS)等組織的物聯網安全指南非常吻合。美國國土安全部(DHS)在其《確保物聯網安全的戰略原則》報告中建議組織權衡連通性的好處與它帶來的風險:“鑒于物聯網設備的使用以及與物聯網設備中斷相關的風險,物聯網用戶(尤其是在工業環境中)應慎重考慮是否需要連續連接。物聯網消費者還可以通過謹慎而有意識地進行連接,并權衡物聯網設備潛在的破壞或故障風險與限制連接到互聯網的成本,幫助遏制網絡連接帶來的潛在威脅。”
Amato表示,微分割非常符合此建議。他說:“僅創建一個物聯網細分市場(還遠遠不夠,還需要將這些設備彼此分割開來。而且,大多數物聯網設備缺少基于主機的控制,因此企業只能使用微分段等外部解決方案來完成這一任務。”
物聯網安全的微分段發展緩慢
Amato表示,盡管具有潛在的優勢,但迄今為止,似乎還沒有廣泛采用微分段技術來實現物聯網安全。
Amato說,“我所看到的是,只有已經擁有成熟的物聯網安全計劃的組織才能通過實施微分段或將其現有程序擴展到物聯領域來建立這種基礎。”
Amato說,“對于大多數組織來說,將IT和物聯網彼此分開只是他們現在所能做到的最好事性。有時候,企業可以做的最好的事情必須足夠好。而且我聽到很多組織都在談論它。但是,在研究使物聯網全部工作所需的努力水平之后,實際上進行物聯網微分段的企業要少得多。”
Beaver說,對于構建物聯網基礎設施的企業來說,重要的是要考慮他們是否真的需要對物聯網安全進行微分段。
Beaver說,“企業必須確定當前的風險級別和業務流程,每一項新技術或控制都會帶來意想不到的后果。與零信任模型相關的額外復雜性是否會影響企業的安全計劃,從而否定任何可感知的好處?”
一個更好的做法是徹底了解物聯網將如何影響企業中的所有網絡,以便確定確保數據安全傳輸的最佳方法。
Beaver說,“制定安全標準和政策,不僅是可執行的,而且包括實際執行的物聯網。如果以基于風險的角度進行處理,并希望將網絡復雜性降至最低,那么也許就能夠控制其物聯網環境。”