网络罪犯的目光是越来越集中在物联网(IoT)设备上了。Hide 'N Seek 恶意软件最新变种甚至首次将家居自动化设备纳入了感染范围。为什么这些设备在罪犯眼中受到如此关注?有两个原因:首先,这些设备出了名的易攻难守。其次,大多数公司企业连网络上的传统设备都登记不全跟踪不了,更别说成百上千的新IoT设备了。
显然,IoT设备漏洞与机会并存,让很多安全团队大为头疼。数字化转型时代,IoT设备的作用越来越关键,能令公司企业在今日泛在化市场中更具竞争优势。但同时,公司企业尚不具备在该新攻击界面上铺开全面可见性所需的资源,尤其是在IoT设备采纳速度过快的情况下。而且,公司企业现有的传统孤岛式安全设备也明显无法胜任IoT网络监视职能。
那么需要做哪些安全措施来防止loT安全危机公司网络呢?
1. 需要访问控制
安全首要原则就是可见性。看不见就谈不上控制。从打补丁到监视到隔离,哪样都离不开在设备一接入网络时就建立起可见性。因为访问控制产品是新设备接入网络时首先碰到的网络元素,它们需能自动识别IoT设备,确定设备是否被黑,然后基于设备类型、预定目的地址、用户角色等因素提供受控访问。
进出网络的IoT设备数量持续增加,访问控制解决方案的处理速度需得跟上时代的发展。另外,访问控制解决方案还需与网络和安全控制措施无缝同步,确保IoT设备及其应用在分布式网络中的持续跟踪和策略统一实施。
2. 网络分隔与访问控制
识别并验证IoT设备之后,还需为其分配一个特定的网络段。理想状态下,IoT设备与生产网络自动隔离,防止关键内部资源暴露在潜在威胁和攻击方法面前。比如说,直接与访问控制解决方案互动的内部分隔防火墙,就可将IoT设备置于专门的网段加以监视和审查其应用程序,识别并防止恶意软件的横向扩散。同时,边界防火墙可自动阻断受感染设备与外部C&C服务器通信。
3. 隔离与访问控制
访问控制还必须能够向其他安全、联网及管理设备发送IoT设备的信息,以便建立起IoT数据流基线并加以监视,方便采用行为分析之类的技术识别出流氓设备。
流氓设备一旦被揪出,整合的网络与安全解决方案便可在及时处理威胁上发挥关键作用。无论是哪种安全工具或解决方案检测出源自IoT设备的异常或恶意流量,都应能自动触发协同响应,包括重定向流量、封锁通信信道,以及使用网络访问控制(NAC)解决方案加以隔离——将被黑设备重分配到隔离网段留待评估、缓解或清除。
loT安全新常态
因为在今日数字市场举足轻重,IoT设备代表着当今IT新常态的一部分。然而,想要在不干扰业务目标的情况下挡住被黑IoT设备带来的风险,却是难上加难。这是不仅仅是因为安全团队难以跟上设备及相关流量的爆发式增长与IoT设备本身的不安全性,也因为可防御的网络边界已经消散,可以从世界各个角落访问公司网络。更糟的是,安全人才的全球性短缺导致可用于检测和响应IoT相关事件的人手捉襟见肘。
只需一台被黑掉的IoT设备,就可对公司网络、基线和信誉造成严重打击。现代企业需要整合的自动化安全框架,该框架要能执行一系列关键功能,比如流量及行为监视、安全网络访问、协同威胁响应等等,无论这些威胁是在分布式网络的哪个角落被发现的。
黏合了访问控制和安全策略的集成安全方法,不仅可为企业带来建设强安全所需的可见性,还能带给企业检测、预防及响应威胁的自动化过程。该方法确保了设备情报共享、访问控制泛在实施,以及被黑设备快速清除,对关键业务交易和工作流的影响可降至最低。IoT设备已成现代业务流必备部分,只要安全措施做到位,倒也未必会成为公司网络的最弱一环。
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】