計世網

你在物聯網安全中的職責是什么?
作者:Maciej Kranz 編譯 范范 | 來源:IDG
2018-07-05
如果我們想享受互聯系統帶來的所有便利,那么每個人都需要清楚并承擔起自己相應的責任。

 


  自從"物聯網"成為專業術語以來,已經過去了近二十年,但是我們仍然在追問一個同樣的問題:"保護數以億計的物聯網設備的安全,究竟是誰的職責?"考慮到這一市場的最新進展,有人可能認為我們現在已經搞清楚了其中的答案,但事情并非如此簡單。

  從設備安全到行業標準

  盡管物聯網安全長期以來一直是熱門的討論話題,但是它正變得越來越重要,越來越具有挑戰性。

  首先,由操作技術(OT)獨自負責保護物聯網安全的日子已經一去不復返,其通常"通過隱匿性來實現安全",即在物理上將產品操作、工業網絡與企業網絡和互聯網隔離起來。雖然企業已經意識到需要將IT與OT整合起來,推動新的使用案例,在網絡和應用之間實現開放的數據流,從而支持更好的業務決策、降低成本、減少復雜性,但IT與OT實踐之間的諸多差距正成為新的攻擊面。

  其次,網絡不法分子越來越多地將物聯網作為目標。研究顯示,向物聯網設備發起的DDoS(分布式拒絕服務)攻擊正呈現上升趨勢。例如,Mirai僵尸網絡病毒已經感染了數十萬物聯網設備,這讓它們有能力協同發起大規模網絡攻擊。

  再次,對于物聯網而言,每個垂直領域對涉及核心或關鍵任務基礎設施的安全要求都不盡相同。例如,在公共事業領域,美國政府近期強制將第五版NERC CIP(北美電力可靠性委員會關鍵基礎設施保護)標準作為網絡安全標準,而醫療行業則按照HIPPA要求保護數據的安全。

  雖然企業IT、首席安全官和各國政府在物聯網安全中發揮著核心作用,但要對關鍵性安全、數據保護和隱私等一系列要求達成共識,這是每個人,尤其是行業的責任。

  從設備到行業標準

  設備和安全廠商對物聯網生態系統都起著非常關鍵的作用。

  在2016年一系列重大的消費級物聯網攻擊事件發生后,不僅政府開始考慮相應法規,越來越多的廠商和設備制造商也終于開始對物聯網安全進行相應的投資。

  與此同時,物聯網廠商開始合力制定關于物聯網安全的標準、互操作性和相關認證。

  IETF、工業互聯網聯盟(IIC)安全工作組和IEEE等機構正在積極地開發和探索物聯網安全架構、標準和方法,以確保由不同品牌、型號和類型組成且相互連接的物聯網系統的網絡安全。這將有助于公司在開發和部署自己的物聯網解決方案時降低風險。

  與傳統的IT環境相比,物聯網環境更加分散、多元化,并且規模也更加龐大。這些獨特的挑戰讓所有參與者的工作更加復雜。這為我們引出了保護物聯網安全的下一道防線--你的職責。

  最佳業務實踐

  隨著廠商開始重視物聯網安全挑戰并接受互操作標準,不同行業的公司也必須要將保護物聯網安全、防范潛在的災難性網絡攻擊作為自身工作的一部分。關鍵的策略是獲取網絡、網絡端點、物聯網設備和云基礎設施的可視性。

  列出接入網絡的設備和系統清單:

  安全團隊通常只能參考被管理的設備快照視圖或過時的列表。如果可能的話,讓設備搜索能夠自動準確地知道:哪些設備正在運行哪些操作系統,并迅速發送補丁,堵上已知漏洞。此外,還要對集中平臺進行投資,這些平臺能夠整合所有的物聯網創新,提供可視性和安全性,并從不同系統之間的數據共享中獲得新的價值。

  實時監測和漏洞檢測:

  對能夠密切監測網絡流量、檢測攻擊者、追蹤物聯網設備與網絡上和其他設備交互方式的解決方案進行調研。如果一部分物聯網設備正在掃描其他設備或是可預見的流量模式發生了變化,那么,這些都是惡意行為的明顯征兆。例如,如果一部HVAC系統正在與銷售點(POS)系統通信,或是POS竟然向云端發送數據,那么,我們需要迅速標記并關閉這一行為。

  執行基于網段和角色的訪問控制:

  確保只有經過授權的人、機器或進程可以訪問特定類別的設備或數據流。HVAC沒有任何理由被允許可以與POS對話,不是嗎?為了阻止這種情況發生,應該將這些系統隔離在一個獨立的網段內,并評估網段策略,定期測試其有效性。

  對員工進行培訓,讓安全意識成為一種文化:

  無論員工的崗位是什么,他們都應當成為抵御威脅的第一道防線。就像物聯網本身,安全教育并非一勞永逸的事情。IT和物聯網均面臨的另一個問題是60%的安全威脅源自內部。1/4的違規事件為無意識操作,包括點擊釣魚郵件中的鏈接和給為未經授權的人敞開大門。

  盡管這些最佳實踐將有助于確保物聯網的安全,但是公司必須在物聯網安全方面采取一個基于策略的綜合性方案,將數據、設備和物理安全整合在一起,這是一條底線。隨著每年數以億計的新設備上線,為了保護物聯網系統的安全,我們將采取打破邊界或"通過隱匿性來實現安全"的防御方式。如果我們想享受互聯系統帶來的所有便利,那么每個人都需要清楚并承擔起自己相應的責任。

  請仔細思考,你在保護物聯網安全中的職責究竟是什么?

  作者:Maciej Kranz為思科系統公司戰略創新部副總裁,全球物聯網頂級專家,同時也是《紐約時報》暢銷書《構建物聯網世界(Building the Internet of Things)》的作者。
 

責任編輯:劉沙