減少來自企業物聯網設備的威脅需要監控工具、軟件漏洞測試和網絡安全措施，其中包括網絡分割。

Freeman Health System公司在密蘇里州、俄克拉荷馬州和堪薩斯州的30家機構中有大約8000臺聯網的醫療設備。許多醫療設備在任何時候如果遭到網絡攻擊有可能讓患者面臨致命危險，這家連鎖醫院的首席信息官Skip Rollins表示，“這是所有人都害怕的世界末日。”

Rollins希望能夠掃描這些設備的漏洞，并在上面安裝安全軟件，以確保它們不被黑客攻擊。但是很難做到。

他說，“醫療領域的供應商通常不會很好地合作，他們都有專有的操作系統和專有工具。我們無法掃描這些設備，也不能在這些設備上安裝安全軟件。我們看不到他們在做什么，供應商是故意這么設置的。”

他說，“供應商聲稱他們的產品和系統不會受到網絡攻擊。然后我們會說，‘讓我們把這些承諾寫進合同。’但他們通常拒絕。”

這是因為這些設備可能充滿漏洞。根據醫療網絡安全商Cynerio公司今年早些時候發布的一份調查報告，53%的醫療設備至少存在一個嚴重漏洞。例如，設備通常帶有默認密碼和設置，網絡攻擊者可以很容易地在網上找到這些密碼或設置，或者運行的是不受支持的Windows舊版本。

網絡攻擊者一直在不斷進行攻擊，根據波洛蒙研究所在去年秋天發布的研究報告，對物聯網或醫療設備的攻擊占所有醫療保健漏洞的21%，與網絡釣魚攻擊的比例相同。

和其他醫療保健提供商一樣，Freeman Health Systems公司正試圖讓設備供應商更認真地對待安全問題，但到目前為止還沒有取得成功。Rollins說，“我們的供應商并不會和我們一起解決這個問題，這是他們的專有商業模式。”

因此，有些設備位于公眾可訪問的區域，有些設備具有可訪問的USB端口，連接到網絡，但無法直接解決安全問題。

在預算緊張的情況下，即使有更新、更安全的替代品可用，醫院也無法要求供應商更換新設備。因此，Freeman Health Systems公司使用基于網絡的緩解策略和其他解決方案來幫助降低風險。

Rollins說，“我們監控進出的流量。”他們使用的是Ordr公司提供的流量監控工具。與可疑地點的通信可能會被防火墻阻斷，而向其他醫院系統的橫向移動則會受到網絡分割的限制。

他說：“但這并不意味著醫療設備在照顧病人的過程中不會被破壞。”

讓事情更加復雜的是，阻止這些設備與其他國家和地區通信，可能會導致關鍵更新無法安裝。

他表示：“來自其他國家的設備并不罕見，因為有些零部件都是在世界各地生產的。”

Rollins說，在現實生活中，他沒有遇到試圖通過入侵醫療設備對患者造成身體傷害的事例。他說;“至少在今天，大多數黑客都是為了獲利，而不是為了傷害他人。”但類似于SolarWinds針對醫療設備的民族國家攻擊，有可能造成難以估量的破壞。

他說:“大多數醫療設備都連接回一個中心設備，形成一種輪輻式的網絡。如果他們破壞了這些網絡，就會破壞我們用來照顧病人的工具。這是一個真正的威脅。”

物聯網可見性斗爭

物聯網安全的第一個挑戰是識別企業環境中存在哪些設備。但設備通常是由單個業務單位或員工安裝的，它們屬于運營、建筑和維護以及其他部門的權限。

許多企業沒有一個單獨的人負責物聯網設備的安全。安永公司負責美洲OT和IT業務的Doug Clifton表示，任命某個人是控制問題的第一步。

第二步是找到適合的設備。Forrester公司分析師Paddy Harrington表示，有幾家供應商提供網絡掃描服務，以幫助企業做到這一點。來自Checkpoint、PaloAlto和其他公司的設備可以持續運行被動掃描，當檢測到新設備時，會自動對其應用安全策略。他說，“這不會解決所有問題，但這是朝著正確方向邁出的一步。”

不過，有些設備并不完全屬于已知的類別，也難以指導。Clifton說：“這有一個二八法則。80%的設備可以通過技術收集。對于另外20%的人，需要做一些調查工作。”

Harrington說，尚未擁有物聯網掃描工具的企業應該與他們已經合作的安全供應商協商。他說，“可以了解他們是否有安全產品，雖然可能不是同類產品中的佼佼者，但它有助于縮小差距，而且用戶不必擁有大量的新基礎設施。”

Palo Alto公司物聯網安全首席技術官May Wang表示，企業通常使用電子表格來跟蹤物聯網設備。每個業務領域可能都有自己的列表。她說：“當患者去醫院看病時，會收到IT部門、設施部門和生物醫療設備部門的電子表格，這三個電子表格都是不同的，顯示的是不同的設備。”

當Palo Alto公司對設備運營環境進行掃描時，這些列表通常都達不到要求——有時相差超過一個數量級。May Wang表示，許多設備都是老舊設備，是在物聯網設備被認為是安全威脅之前安裝的。她說，“傳統的網絡安全系統看不到這些設備，而保護這些設備的傳統方法不起作用。”

但在設備全部被識別出來之前，企業不能將終端安全或漏洞管理策略應用到設備上。Palo Alto公司現在將機器學習驅動的物聯網設備檢測集成到下一代防火墻中。

May Wang說，“我們可以告訴用戶有什么樣的設備、硬件、軟件、操作系統，以及正在使用什么協議。Palo Alto公司的系統無法檢測并獲取每臺設備的全部信息。對于其中一些設備可能沒有那么詳細，但我們可以獲得大多數設備的大部分信息。這為了解設備提供了可見性。”

根據技術的部署方式，Palo Alto公司還可以根據設備的內部、橫向通信接收設備，并為新發現的設備建議或自動實現安全策略。

當物聯網設備使用蜂窩通信時，這就產生了一個更大的問題。她說，“很多物聯網設備都是5G設備，使用蜂窩通信將成為更大的問題，我們因此有一個負責5G安全的部門，這無疑帶來了更多的挑戰。”

物聯網的內部窺視

一旦物聯網設備被可靠地發現和清點，它們需要像其他網絡設備一樣嚴格地管理和保護。這需要配置管理、漏洞掃描、流量監控和其他功能。

即使是沒有連接到外部網絡的設備，也可能成為在企業內部橫向移動的攻擊者的中間集結點或藏身之處。

一年前，H.I.G.Capital公司首席信息官Marcos Marrero就面臨著這樣的困境。

該公司是一家全球投資商，管理著超過500億美元的股本，在全球各地有26個辦事處。該公司在其網絡運行數百個設備，例如攝像頭、物理安全設備和監控機房內溫度和電源的傳感器。Marrero說，物聯網設備安全是一個巨大的問題，而且它還在不斷發展壯大。

作為一家金融公司，H.I.G.Capital公司的安全意識非常強，其安全團隊會監督安裝在其網絡上的每一個設備。Marrero說，“好在我們還沒有在運營環境中遇到任何物聯網威脅。但能夠定位設備只是這段旅程的開始，然后是漏洞和配置的可見性。”

大約一年前，Marrero對其中一個房間警報設備進行了漏洞掃描，發現了不需要身份驗證的開放端口。該公司聯系了警報設備制造商，并獲得了如何加強設備安全的說明。他說：“但我們必須要求制造商提供更詳細的信息。”

他說，該公司運行的漏洞掃描只從外部查看了設備，發現了開放的端口和操作系統類型，但其他內容很少。他說，“這些設備中使用的開源軟件存在大量漏洞。”

為了解決這個問題，H.I.G.Capital公司求助于Netrise公司的固件掃描工具。

Marrero說，“我們做了一個概念驗證，上傳了一張固件圖像，它返回了所有的漏洞數據和其他信息。”

上傳圖片是一個人工操作的過程，上傳每張圖片需要幾分鐘的時間。由于同一類型的設備是很多重復的圖像，該公司總共上傳了不到20張圖片。其掃描的結果是，該公司的漏洞清單增加了28%。

他說，“我們不知道它們存在于我們的運營環境中，因此出現了大量漏洞。”

發現漏洞之后，H.I.G.Capital公司聯系了設備供應商，并采取了其他解決措施。他說。“如果設備太危險，對我們的環境造成了太大的風險，那么可能會將其拆除，或者對它進行額外的控制。”

例如，一些設備在網絡上被分割開來，使用訪問控制列表來限制其他系統和用戶可以訪問該設備的內容。他說。“例如，安全攝像頭只能與支持該設備的技術資產通話，這限制了任何不當利用的風險。”

然后，任何未來的固件更新都會在部署之前通過Netrise工具運行，以防制造商引入新的漏洞。該公司的其他物聯網管理政策包括在最初的購買決定期間進行安全檢查。

他說：“在我們購買任何資產之前，需要確保它們有某種級別的日志記錄，我可以將它們發送到集中日志記錄環境中。”他指的是該公司的安全信息和事件管理(SIEM)系統。

他說，“我們的SIEM所做的是收集我們發送給它的所有不同日志，并將它們關聯起來，以降低錯誤警報的水平。”

他說，該公司偶爾會遇到記錄水平非常不成熟的設備。

監測和監督

一旦所有設備都被識別、按風險分類，并盡可能地進行修補和更新，下一步就是圍繞可能對企業造成最大傷害的設備創建一個監控框架。

在某些情況下，企業可能能夠在物聯網設備上安裝端點保護軟件，以保護它們免受惡意攻擊，監控配置和設置，確保它們已經打了完整的補丁，并監控異常活動。對于一些較舊的設備或專有設備(如醫療設備)，這可能是不可能的。

當設備連接到企業網絡時，這些通信可以被監控以防止可疑活動。

一些企業在物聯網安全方面獲得了突破。根據Palo Alto公司發布的數據，98%的物聯網流量是未加密的。此外，物聯網設備通常會重復地做同樣的事情。

Palo Alto公司的May Wang說，“以恒溫器為例，它的功能只是用來記錄溫度，僅此而已。它不應該與其他服務器對話。這是一件好事——它讓人工智能模型更容易建立行為基線。”

物聯網和零信任的未來

隨著企業轉向零信任架構，重要的是不要忘記連接的設備。

零信任原則和設計上的安全性應用于加固設備和相關應用程序。安全供應商DigiCert公司物聯網解決方案副總裁Srinivas Kumar表示，這首先要從保護控制開始，例如設備識別和認證，以及具有供應鏈防篡改功能的可信設備更新。他補充說，通信也需要安全。

WI-SUN是通過創建認證和加密標準來保護物聯網設備的行業組織之一，成立于大約10年前，專門專注于公用事業公司、智慧城市和農業使用的設備。

WI-SUN標準中內置的安全措施包括：在設備連接到網絡時驗證設備的證書、確保所有消息都是私有的加密以及防止中間人攻擊的消息完整性檢查。

地緣政治緊張局勢的加劇意味著，保護這些儀表以及關鍵基礎設施運營的其他關鍵設備越來越緊迫。WI-SUN總裁兼首席執行官Phil Beecher表示：“如果在橋梁或鐵路軌道上安裝了結構完整性檢查傳感器，如果有人破壞了所有傳感器，那么將會讓城市陷入巨大的混亂。”

UL Solutions公司平臺解決方案負責人兼SafeCyber項目負責人David Nosibor表示，這只是一個開始。他說，“從供應鏈中斷到食物、水或電力的損失，這些影響可能十分廣泛。”

他說，與此同時，網絡攻擊者正變得越來越老練，而且很多企業的工作人員缺乏網絡安全專業知識。除此之外，隨著立法者意識到風險，一波監管浪潮即將到來。

Nosibor說，“這些挑戰是相互關聯的。不幸的是，許多企業難以應對這種復雜性。”

審核編輯 ：李倩