高楓

對于許多IT項目而言，安全性通常是事后的想法，但這種方法會使組織的業(yè)務面臨重大風險。物聯(lián)網(wǎng)的興起為網(wǎng)絡增加了指數(shù)級的設備，為網(wǎng)絡攻擊者創(chuàng)造了更多的入口點。更大的問題是，許多物聯(lián)網(wǎng)設備比傳統(tǒng)IT設備更容易入侵，成為網(wǎng)絡攻擊者的首選終端。

物聯(lián)網(wǎng)廣泛應用于一些行業(yè)，但它仍處于大多數(shù)企業(yè)的早期階段。對于剛剛起步的企業(yè)來說，IT和安全領(lǐng)導者應該為他們的實現(xiàn)制定安全計劃。然而，安全的前景廣闊，如何確保物聯(lián)網(wǎng)部署的安全可能并不明顯。以下是創(chuàng)建物聯(lián)網(wǎng)安全計劃時必須考慮的3件事。

1.可見性是物聯(lián)網(wǎng)安全的基礎

人們無法保證不可見事物的安全，所以保護物聯(lián)網(wǎng)的第一步就是知道連接的是什么設備，問題是大多數(shù)企業(yè)都沒有線索。有關(guān)機構(gòu)在2019年早些時候進行了一項調(diào)查，并詢問受訪者對于他們知道哪些設備連接到網(wǎng)絡的自信程度。高達61 %的人表示信心不足或沒有信心。更糟糕的是，這個數(shù)字比三年前的51 %大幅上升，表明網(wǎng)絡和團隊在安全方面有些落后。

可見性是一個起點，但實現(xiàn)完全可見性有幾個步驟：

設備識別和發(fā)現(xiàn)。擁有一個能夠自動檢測、分析和分類網(wǎng)絡的內(nèi)容，開發(fā)完整設備清單的工具非常重要。配置文件，安全專業(yè)人員可以回答關(guān)鍵問題，例如“設備采用什么操作系統(tǒng)，如何配置，它是可信任的還不可信任的？”重要的是，該工具持續(xù)監(jiān)控網(wǎng)絡，以便在設備連接后立即發(fā)現(xiàn)設備并對其進行分析。

預測分析。在發(fā)現(xiàn)之后，應該學習和基線化設備的行為，以便系統(tǒng)能夠在攻擊造成任何傷害之前對其作出反應。一旦建立了規(guī)范，就可以對環(huán)境進行異常監(jiān)測，然后采取行動。這對于高級持久性威脅（APT）特別有用，在那里它們保持休眠并映射環(huán)境。任何行為的改變，無論多么微小，都會觸發(fā)警報。

2.網(wǎng)絡分段可提高安全敏捷性，阻止威脅的橫向移動

這是當今最大的安全問題。Fortinet公司的John Maddison對于網(wǎng)絡分段如何為網(wǎng)絡增加靈活性和敏捷性，以及如何防止內(nèi)部威脅和惡意軟件溢出進行了探討，這些惡意軟件已經(jīng)感染了網(wǎng)絡的其他部分。他是在SD-WAN的背景下討論這個問題，而這個將會被物聯(lián)網(wǎng)放大。

網(wǎng)絡分段的工作原理是分配策略、分離資產(chǎn)和管理風險。當物聯(lián)網(wǎng)設備被破壞時，網(wǎng)絡分段會阻止威脅橫向移動，因為資產(chǎn)被分類并組合在一起。例如，可以在醫(yī)院中建立策略將所有心臟泵置于安全區(qū)段中，如果違反了一項規(guī)定，則無法獲取醫(yī)療記錄。

在組合網(wǎng)絡分段平臺時，需要考慮3個關(guān)鍵事項。

風險識別。根據(jù)企業(yè)認為重要的標準對設備進行分類?？梢允怯脩簟?shù)據(jù)、設備、位置或幾乎任何其他內(nèi)容；然后將風險分配給具有類似風險特征的組。例如在醫(yī)院中，所有與核磁共振成像相關(guān)的端點都可以被分離到它們自己的區(qū)段中。如果違反了一項規(guī)定，則無法訪問醫(yī)療記錄或其他患者的信息。

策略管理。隨著環(huán)境的擴展，需要發(fā)現(xiàn)新設備并應用策略。如果設備移動，則策略需要隨之移動。將策略管理完全自動化非常重要，因為人們無法快速進行更改以跟上動態(tài)組織的步伐，而策略是管理整個組織風險的機制。

控制。一旦威脅參與者獲得訪問權(quán)，攻擊者就可以在網(wǎng)絡上漫游數(shù)周，然后再采取行動。隔離物聯(lián)網(wǎng)端點及與其通信的其他設備、服務器和端口，允許企業(yè)在風險基礎上分離資源。從策略的角度選擇對與物聯(lián)網(wǎng)設備交互的部分網(wǎng)絡進行不同處理，使組織能夠控制風險。

3.設備保護在物聯(lián)網(wǎng)安全中位列首位

物聯(lián)網(wǎng)安全的首要任務是先保護設備，然后保護網(wǎng)絡。一旦物聯(lián)網(wǎng)設備被保護并加入網(wǎng)絡，它必須以與其他網(wǎng)絡元素協(xié)調(diào)的方式進行保護。保護物聯(lián)網(wǎng)端點是正確執(zhí)行策略的問題。這是通過以下機制實現(xiàn)的：

政策靈活性和執(zhí)行力。解決方案需要更加靈活，能夠在設備和訪問級別定義和實施策略。為了滿足物聯(lián)網(wǎng)的需求，需要強制執(zhí)行控制設備行為、流量類型以及在網(wǎng)絡上的位置的規(guī)則。物聯(lián)網(wǎng)端點、消費設備和云計算應用程序是必須建立和實施不同策略的例子。

威脅情報。一旦建立了控制措施，就必須始終如一地執(zhí)行策略，并在整個網(wǎng)絡中轉(zhuǎn)換合規(guī)性要求。這就創(chuàng)建了一種智能的自我學習結(jié)構(gòu)，可以立即對威脅作出反應。當情報分布在整個網(wǎng)絡時，可以在攻擊點采取行動，而不是等待威脅到達中心點。威脅情報應該是本地信息和全球信息的結(jié)合，可以在威脅發(fā)生之前識別它們。

不幸的是，對于網(wǎng)絡和安全專業(yè)人士來說，在保護物聯(lián)網(wǎng)設備方面并不簡單。但是，通過正確的規(guī)劃和準備，即使是最大的物聯(lián)網(wǎng)環(huán)境也可以得到保護，因此企業(yè)可以繼續(xù)實施，而不會使其業(yè)務面臨風險。