正如预测的那样,物联网无处不在。从智能冰箱到通过实时分析提供支持的智能城市,物联网设备已成为个人和商业网络的核心元素。这带来了一些新颖的安全问题。
IoT设备已被反复标记为易受恶意软件和劫持攻击,并且还可用于犯罪数据泄露。僵尸网络攻击也变得越来越普遍,单独增加能源成本可能使企业损失高达30万美元(225,000英镑)。
这些原因促使网络管理者寻求创新安全解决方案的趋势,并且微周界已经引起了很多关注。但是什么是微周长,它们与您的物联网安全问题有何关系?让我们了解更多。
什么是微周长,为什么它们很重要?
在网络安全领域,我们谈论了很多关于“威胁表面”和周边的内容,这些是在保护任何网络时要牢记的关键概念。边界基本上是描述特定设备或网络限制的边界。它们标记每个特定设备作为一个整体与网络相遇的位置以及网络上各个节点如何交互,还可以用于模拟网络本身的限制。
在这篇文章中,我们讨论的是基于物联网的网络中最小规模的周长:微周长。
为什么微周长而不是更大规模的边界?在许多现代IT网络中,保护整个网络没有意义。网络的规模和数百或数千个分立设备的存在意味着采取全面的网络安全方法可能会错过细节。
在基于物联网的网络中,每个单独的设备可能潜在地代表安全风险,并且每个设备都需要单独保护。这就是微周长进入等式的地方。
通过创建特定于设备的安全解决方案,网络管理员可以锁定敏感设备,并确保1)来自第三方的威胁最小化; 2)如果威胁突破安全警戒线,系统就可以隔离受影响的设备。
这样想吧。随着云已经成为网络解决方案的一个关键方面,网络规模不断扩大,网络节点和恶意行为者之间的潜在连接成倍增加 - 有时呈指数级增长。
使用应用程序保护网络位置
在这种情况下,安全专家采取了缩小其安全方法的战略。这往往需要一些核心元素,从保护敏感应用程序开始。
首先,物联网设备需要采用严格的认证程序。这允许合法的员工或用户访问设备(例如水电站中的温度传感器或家中的Google扬声器),同时排除没有适当凭证的设备。
这通常涉及使用双因素身份验证(2FA),这会在标准密码门户之上添加额外(通常很耗时)的身份验证层。或者,它可能涉及使用联合身份验证系统,该系统使用安全存储的身份验证凭据将大型用户社区汇集在一起。
其次,应用需要提供授权。因此,如果用户连接到NAS数据库,则需要有适当的系统来管理访问级别并确保正确加密机密数据。
在实践中,两者一起工作。用户尽可能高效地进行身份验证,然后,他们被授权以适当的方式使用IoT设备。当这在整个网络中扩展时,其想法是保护所有敏感应用程序免受外部威胁。
保护应用层之外的设备
虽然在敏感应用程序周围建立微周边是必不可少的,但在许多情况下,它并不代表全面的安全解决方案。为什么?因为在物联网繁重的环境中,物理设备同样重要,同样容易受到外部威胁。
物联网设备可能成为各种网络威胁的受害者。例如,它们可能成为僵尸网络的目标,招募无辜的传感器或扬声器来发起全球DDoS攻击。或者,它们可能成为中间人攻击的焦点,这些攻击会在机密数据传递到设备时传输出来。在某些情况下,设备可以完全脱机。这就是我们在臭名昭着的Stuxnet恶意软件袭击伊朗核设施时看到的情况。
这一切都意味着最小的物联网设备可能是弱点,这会导致系统故障或灾难性的数据泄露 - 对任何公司来说都不是一个受欢迎的开发。
在这种情况下,端点安全变得极为重要。这可能意味着定期更新固件,对高风险设备进行物理检查,或安装企业级端点安全解决方案,以监控设备与更广泛的Web之间的每次交互。
但在许多情况下,这种整体方法的细微程度不足以为单个设备提供可靠的保护。相反,需要采用微周边方法
如果安全管理人员认为它们会带来更高的安全风险,他们可以围绕特定设备施加“网络”保护。这在移动电话的情况下尤其常见(并且有用),移动电话可能离开中央工作场所并与第三方Wi-Fi网络交互。
公司可能会选择实施移动设备管理软件,该软件记录每个移动设备,添加安全功能,并确保在每台笔记本电脑或智能手机上遵循公司安全策略。这是一种方法。
但是,还有其他解决方案可以围绕物联网设备创建移动周边。VPN(虚拟专用网)是一种选择。这些应用程序加密传输到移动设备和从移动设备传输的数据,并对其IP地址进行匿名化。这会在每个手机或笔记本电脑周围创建一个安全“泡沫”,无论用户在哪里。
对于需要完全远程工作安全性的中小型组织而言,这可能是一个合适的解决方案。但是你确实需要一个可靠的VPN来锁定每个微周边。
在物联网设备周围保护微周边时要注意的事项
一般来说,如果您的家庭或企业托管连接到物联网的多个设备,建议制定一个政策,使其尽可能安全。在将微周边固定在设备周围时,有必要记住一些事项。
- 验证和身份验证 - 用户需要能够安全地访问每个设备,同时排除缺少真实凭据的第三方参与者。
- 更新 - 您的设备使用的任何固件必须尽可能保持最新状态,从而关闭恶意软件威胁。
- 病毒/恶意软件防护 - 物联网设备可能成为恶意软件的受害者,就像计算机一样。为连接到Web的所有设备实施扫描和隔离策略。
- 额外的边界安全性 - 如果您想最大限度地提高设备安全性,那么使用VPN在网络中引入另一层保护是有意义的。
但是,值得注意的是,在大型设备社区中实施微周边方法成本高昂。它们适用于高风险节点和小型网络,对于保存机密数据的设备而言势在必行。但对于更大的网络,它们并不总是优于更广泛的端点安全方法。