企業(yè)的安全團隊應該采取一些措施和步驟,為2020年物聯(lián)網(wǎng)面臨不斷發(fā)展的安全威脅做好準備。
在新的一年到來的時候,安全行業(yè)的人士總在問這些問題:在未來一年面臨的安全挑戰(zhàn)是否與往年有所不同?企業(yè)是否應該改變防御策略,尤其是在運營技術(OT)、物聯(lián)網(wǎng)(IoT)和關鍵基礎設施組件方面?
安全廠商Nominet公司網(wǎng)絡安全副總裁StuartReed表示:“在網(wǎng)絡安全的總體趨勢中,我們看到的是,這里一直都是一個充滿活力的地方,但現(xiàn)在網(wǎng)絡攻擊沒有界限?!彼忉屨f,那些針對運營技術(OT)跨越邊界的網(wǎng)絡攻擊可能會產(chǎn)生超出IT系統(tǒng)之外,甚至對人類的生命和安全產(chǎn)生直接影響。
運營技術(OT)和物聯(lián)網(wǎng)(IoT)設備的安全性工作很復雜,而運營技術(OT)和物聯(lián)網(wǎng)(IoT)的設計安全性目前不是IT系統(tǒng)的標準。Reed說:“許多控制系統(tǒng)和運營技術(OT)基礎設施從來沒有設計過以數(shù)字方式連接到其他任何地方?!彼忉屨f,但是數(shù)字化的持續(xù)發(fā)展趨勢意味著很少有運營技術(OT)系統(tǒng)可以長期隔離網(wǎng)絡攻擊。
隨著網(wǎng)絡犯罪分子和激進國家的網(wǎng)絡威脅不斷發(fā)展,安全團隊應采取哪些步驟來保護其組織擁有的運營技術(OT)和物聯(lián)網(wǎng)(IoT)系統(tǒng)?網(wǎng)絡安全專家對如何應對2020年物聯(lián)網(wǎng)威脅提出了一些建議。他們希望在未來一年無論威脅環(huán)境如何變化,都確保其運營技術(OT)系統(tǒng)盡可能安全。以下是網(wǎng)絡安全專家提出的七個安全注意事項:
1.注意邊緣
nVisium公司首席執(zhí)行官JackMannino說:“隨著邊緣計算和分布式傳感器網(wǎng)絡的增長,云計算基礎設施和邊緣設備成為網(wǎng)絡攻擊者越來越關注的目標。使邊緣設備不受攻擊者控制的關鍵是采用混合方法來解決問題?!?/p>
Mannino說,“邊緣計算需要采用混合云方法,其中邊緣設備和云計算服務必須在每一層建立信任。用戶決定如何建立信任并成為業(yè)務流程的一部分,首先要詳細分析邊緣設備如何生成數(shù)據(jù)、生成什么類型的數(shù)據(jù),以及將數(shù)據(jù)傳輸?shù)綉贸绦蚧A架構的其余部分的過程?!?/p>
就像傳統(tǒng)的IT攻擊者通常選擇用戶作為進入網(wǎng)絡的方式一樣,那些想要破壞企業(yè)物聯(lián)網(wǎng)設備的網(wǎng)絡攻擊者可能會看到邊緣設備托管最簡單的進入端口,這使用戶將注意力集中在網(wǎng)絡中心上,忽視了邊緣上比較脆弱的設備。
2.安全培訓
Reed說,盡管惡意軟件和基于物聯(lián)網(wǎng)的攻擊變得越來越復雜,但成功進行攻擊并不需要高度復雜的技術。他解釋說:“如果人們不了解自己在良好的網(wǎng)絡衛(wèi)生中所扮演的角色和責任,那么可能會發(fā)生一些非?;镜墓簟!?/p>
這些角色和職責包括一些顯而易見的要點,比如不要點擊來自未知或意外來源的附件,但它們遠遠超出了這些基本要求。畢竟,保護重要的數(shù)據(jù)和基礎設施,InformationSecurityForum常務董事SteveDurbin表示:“首先要求最終用戶接受數(shù)據(jù)需要保護的理念。由于有著不同的社會規(guī)范,涉及數(shù)據(jù)的公認價值,因此需要保護數(shù)據(jù),以及誰應該首先負責保護數(shù)據(jù)。”
Reed說,最大限度地降低員工行為風險的關鍵是安全教育和培訓。他解釋說:“除了培訓課程,我認為安全教育可以采取多種不同的形式。例如在線媒體在更廣闊網(wǎng)絡安全教育方面扮演著非常關鍵的角色。”
3.物聯(lián)網(wǎng)的可見性
與安全專家進行對話時,一個共同的主題是需要更好地了解用戶的網(wǎng)絡和基礎設施。這種需求不會隨著傳統(tǒng)IT和物聯(lián)網(wǎng)設備之間的劃分而停止。
Thycotic公司首席安全科學家Carson說:“如果沒有物聯(lián)網(wǎng)設備及其帶來的風險,就無法確定物聯(lián)網(wǎng)數(shù)據(jù)的潛在安全和隱私風險。要了解物聯(lián)網(wǎng)設備的風險,用戶首先想知道其功能或用途,例如是數(shù)據(jù)收集器、數(shù)據(jù)處理器還是數(shù)據(jù)相關器。在確定作為基礎設施的一部分的設備之后,了解功能是第二步?!?/p>
安全專業(yè)人員在提高其整體基礎設施的物聯(lián)網(wǎng)的可見性方面應該做些什么?nVisium公司Mannino說,“這項工作應該從對物聯(lián)網(wǎng)設備等資產(chǎn)的架構藍圖進行一致的安全分析,以找出缺失和設計錯誤的架構控制,并在允許的情況下采用一致的安全代碼分析?!?/p>
4.消費者設備問題
如果用戶有一個網(wǎng)絡,則很有可能將消費類設備連接到基礎設施。企業(yè)員工已將消費類設備作為日常生活的一部分,大多數(shù)員工都不愿意放棄這些設備的優(yōu)勢。Durbin說,“當這些消費者工作時,他們也希望將這些功能強大的設備用于業(yè)務應用,而在過去的幾年中,這導致組織與個人之間,個人信息與公開可用的詳細信息之間的界限越來越模糊?!?/p>
在許多情況下,問題并非始于員工使用自己的設備,而是始于許多消費類設備在設計之初就并未被設計為安全的業(yè)務設備。此外,Dubirn說,“這些設備的使用方式模糊了個人和企業(yè)使用與行為之間的界限。其潛在的風險包括濫用設備本身、外部利用軟件漏洞,以及部署未經(jīng)測試的、不可靠的業(yè)務應用程序?!?/p>
在處理整個物聯(lián)網(wǎng)環(huán)境中可能涉及的云計算服務和物聯(lián)網(wǎng)設備時,安全專業(yè)人員需要積極與他們的供應商和合作伙伴互動,以確?;窘M件能夠安全使用。例如,Acceptto公司首席安全架構師FaustoOliveira表示,物聯(lián)網(wǎng)設備必須具有更改默認用戶名和密碼的能力,以及與網(wǎng)絡中上游和下游系統(tǒng)進行加密通信的能力。Oliveira說:“企業(yè)需要供應商提供強有力的指導,并確保在選擇過程中,安全是一項明確定義的功能?!彼硎?,這符合供應商及其用戶的最大利益,以確保整個系統(tǒng)盡可能安全。
5.物聯(lián)網(wǎng)連接安全性
當然會有一些小型組織(以及高度安全的政府或軍事機構)的物聯(lián)網(wǎng)設備不包含互聯(lián)網(wǎng)連接。但是對于大多數(shù)組織而言,移動、分析和使用其邊緣設備中的數(shù)據(jù)意味著將設備連接到全球互聯(lián)網(wǎng)和一個或多個云計算服務。nVisium公司的Mannino指出,“隨著邊緣計算和分布式傳感器網(wǎng)絡的增加,云計算基礎設施和邊緣設備已成為一種趨勢。而這對于網(wǎng)絡攻擊者來說越來越有吸引力?!?/p>
Vectra公司安全分析主管ChrisMorales簡潔地解釋了這一點。他說,“與傳統(tǒng)的桌面系統(tǒng)不同,物聯(lián)網(wǎng)設備需要確保存儲和鎖定的數(shù)據(jù)不會被窺視,物聯(lián)網(wǎng)設備被設計為彼此共享信息,并共享到遠程存儲位置進行分析,并為企業(yè)提供對其數(shù)據(jù)的遠程訪問。這通常需要物聯(lián)網(wǎng)設備制造商托管的云存儲?!?/p>
在處理可能涉及整個物聯(lián)網(wǎng)環(huán)境的云計算服務和物聯(lián)網(wǎng)設備時,安全專業(yè)人員需要積極與其供應商和合作伙伴接洽,以確?;窘M件能夠安全使用。例如,Acceptto公司首席安全架構師FaustoOliveira表示,設備必須能夠更改默認用戶名和密碼,以及與網(wǎng)絡上下游系統(tǒng)進行加密通信的能力。他說,“組織需要向供應商提供強有力的指導,并確保在選擇過程中,安全性是一個明確定義的特性,是不可選擇的,確保整個系統(tǒng)盡可能安全符合供應商和客戶的最大利益?!?/p>
6.專注于物聯(lián)網(wǎng)設備敏捷性
物聯(lián)網(wǎng)的兩個特點使擴展運營技術(OT)變得如此脆弱,這就是大量物聯(lián)網(wǎng)設備的不可改變的特性。易受攻擊、靜態(tài)和持久性并不是大多數(shù)專業(yè)人員在安全基礎設施中需要的特性。
Acceptto公司的Oliveira說:“需要取消默認用戶名和密碼以及不安全的協(xié)議(如telnet),并采用更好的方法來實現(xiàn)可管理性,而無需使用易于妥協(xié)的默認帳戶和不安全的協(xié)議?!彼麍猿终J為,僅向供應商強調(diào)他們的設備必須允許更改默認憑據(jù)和協(xié)議是不夠的。用戶必須將這些作為購買設備的要求。
Oliveira說:“物聯(lián)網(wǎng)設備需要被視為任何安全資產(chǎn),因此需要定期管理和審核漏洞?!盢ominet的Reed也對此表示認同,他說,“全面的從業(yè)人員必須確保他們具有正確的審核、控制、政策,以便能夠放心地了解與他們合作的第三方,并且采取更好的安全措施?!?/p>
他們都承認,如果無法重新配置基礎設施中的設備來解決漏洞,那么可靠的審核和監(jiān)視的影響將會非常有限。
7.無情數(shù)據(jù)
物聯(lián)網(wǎng)的數(shù)據(jù)生成能力需要符合歐盟的《通用數(shù)據(jù)保護條例》和最新的《加州消費者隱私法》等法規(guī)的要求。因此,Vectra公司的Morales說,“企業(yè)需要更加注意設備收集的數(shù)據(jù)類型以及如何使用這些數(shù)據(jù)。”他指出,在攝像頭、GPS跟蹤系統(tǒng)和傳感器跟蹤業(yè)務的每個階段生成數(shù)據(jù)的時代,保護個人隱私對于保護用戶信息自由至關重要。
Morales說:“物聯(lián)網(wǎng)設備旨在相互共享信息,并共享給遠程存儲位置以進行分析,并為企業(yè)提供對其數(shù)據(jù)的遠程訪問。而且,數(shù)據(jù)必須在設備中以及從業(yè)務流程的一個階段轉移到另一個階段時都受到保護。”
Acceptto公司的Oliveira說,“與設備之間的所有通信都必須加密,并且在理想情況下,數(shù)據(jù)流量必須受基于場景和基于角色的訪問控制,除非在特殊的情況下,否則沒有理由讓設備可以通過全球互聯(lián)網(wǎng)進行連接?!?/p>
要了解如何將“無情數(shù)據(jù)”應用到物聯(lián)網(wǎng)的各個部分,首先要了解基礎設施及其啟用的業(yè)務流程。Thycotic公司的Carson說:“如果沒有物聯(lián)網(wǎng)設備帶來的風險,就無法確定其數(shù)據(jù)的潛在安全性和隱私風險。在了解物聯(lián)網(wǎng)設備的作用以及與之相關的數(shù)據(jù)后,就可以評估采用物聯(lián)網(wǎng)設備帶來的風險。”
評論
查看更多