微分段能為物聯(lián)網(wǎng)帶來(lái)什么嗎

作為物聯(lián)網(wǎng)部署安全策略的一部分，微分段可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)更加精細(xì)的控制，并在利用安全漏洞時(shí)實(shí)現(xiàn)更好的隔離。

物聯(lián)網(wǎng)（IoT）為企業(yè)帶來(lái)了一些巨大的好處，例如對(duì)企業(yè)資產(chǎn)和產(chǎn)品的性能有了更深入的了解，改進(jìn)制造過(guò)程，以及更好的客戶服務(wù)。不幸的是，與物聯(lián)網(wǎng)相關(guān)的安全問(wèn)題仍然是企業(yè)面臨的一個(gè)重大問(wèn)題，在某些情況下，這可能會(huì)阻礙企業(yè)的物聯(lián)網(wǎng)應(yīng)用。解決物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)的一個(gè)可行方案是微分段。專家表示，這是一種網(wǎng)絡(luò)概念，可以幫助控制物聯(lián)網(wǎng)環(huán)境。

借助微分段，組織可以在其數(shù)據(jù)中心和云計(jì)算環(huán)境中創(chuàng)建安全區(qū)域，使它們能夠?qū)⒐ぷ髫?fù)載彼此隔離并分別進(jìn)行保護(hù)。在物聯(lián)網(wǎng)環(huán)境中，微分段可以使企業(yè)更好地控制設(shè)備之間發(fā)生的橫向通信數(shù)量的增長(zhǎng)，從而繞過(guò)以外圍設(shè)備為中心的安全工具。

對(duì)于企業(yè)來(lái)說(shuō)，將微分段技術(shù)應(yīng)用于物聯(lián)網(wǎng)可能還為時(shí)過(guò)早。但業(yè)內(nèi)觀察人士認(rèn)為，物聯(lián)網(wǎng)部署有可能促使企業(yè)采用微分段技術(shù)，以實(shí)現(xiàn)比傳統(tǒng)防火墻更精細(xì)、更簡(jiǎn)單的保護(hù)。

物聯(lián)網(wǎng)帶來(lái)新的安全風(fēng)險(xiǎn)

物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)可能包括涉及連接設(shè)備本身，支持物聯(lián)網(wǎng)的軟件以及網(wǎng)絡(luò)的多種威脅。

隨著物聯(lián)網(wǎng)部署的增長(zhǎng)，對(duì)安全的威脅也越來(lái)越大。根據(jù)研究機(jī)構(gòu)波洛蒙研究所和風(fēng)險(xiǎn)管理服務(wù)商The Santa Fe Group的調(diào)查報(bào)告，自2017年以來(lái)，與物聯(lián)網(wǎng)相關(guān)的數(shù)據(jù)泄露事件急劇增加。使問(wèn)題進(jìn)一步復(fù)雜化的是，大多數(shù)組織并不了解其環(huán)境中或來(lái)自第三方供應(yīng)商的每個(gè)不安全的物聯(lián)網(wǎng)設(shè)備或應(yīng)用程序。波洛蒙研究所的研究表明，許多組織沒(méi)有解決或管理物聯(lián)網(wǎng)風(fēng)險(xiǎn)的集中責(zé)任制，并且大多數(shù)人認(rèn)為他們的數(shù)據(jù)可能會(huì)在未來(lái)24個(gè)月內(nèi)遭到破壞。

物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)對(duì)于醫(yī)療保健等行業(yè)而言可能更高，因?yàn)樵O(shè)備會(huì)通過(guò)網(wǎng)絡(luò)收集和共享大量敏感信息。在研究機(jī)構(gòu)Vanson Bourne公司調(diào)查的232個(gè)醫(yī)療保健組織中，有82%的組織表示，在過(guò)去一年中經(jīng)歷了以物聯(lián)網(wǎng)為中心的網(wǎng)絡(luò)攻擊。當(dāng)被要求確定醫(yī)療機(jī)構(gòu)中最突出的漏洞在哪里時(shí)，網(wǎng)絡(luò)被引用頻率最高（50%），其次是移動(dòng)設(shè)備和隨附的應(yīng)用程序（45%），以及物聯(lián)網(wǎng)設(shè)備（42%）。

微分段如何幫助物聯(lián)網(wǎng)安全

微分段的設(shè)計(jì)是為了使網(wǎng)絡(luò)安全更精細(xì)。下一代防火墻、虛擬局域網(wǎng)（VLAN）和訪問(wèn)控制列表（ACL）等其他解決方案提供了一定程度的網(wǎng)絡(luò)分段。但是，通過(guò)微分段，可能將策略應(yīng)用于單個(gè)工作負(fù)載，以便更好地防止攻擊。因此，這些工具提供比虛擬局域網(wǎng)（VLAN）等服務(wù)更細(xì)粒度的流量分段。

軟件定義網(wǎng)絡(luò)（SDN）和網(wǎng)絡(luò)虛擬化的出現(xiàn)，推動(dòng)了微分段技術(shù)的發(fā)展。通過(guò)使用與網(wǎng)絡(luò)硬件分離的軟件，與軟件未與底層硬件分離相比，微分段更容易實(shí)現(xiàn)。

由于微分段提供了比諸如防火墻之類的面向周邊的產(chǎn)品更大的數(shù)據(jù)中心流量控制能力，因此它可以阻止攻擊者進(jìn)入網(wǎng)絡(luò)進(jìn)行破壞。

分段也有管理上的好處。研究機(jī)構(gòu)IDC公司的物聯(lián)網(wǎng)安全分析師Robyn Westervelt表示，“如果可以正確實(shí)施微分段，則可以在物聯(lián)網(wǎng)設(shè)備和其他敏感資源之間添加一層安全保護(hù)，而不會(huì)在防火墻上造成漏洞。但是底層的基礎(chǔ)設(shè)施必須支持這種方法，并且可能需要安裝新的現(xiàn)代交換機(jī)、網(wǎng)關(guān)等。”

出于安全或隱私原因?qū)⒕W(wǎng)絡(luò)劃分為多個(gè)部分的概念并不新鮮。一段時(shí)間以來(lái)，企業(yè)一直在隔離一些關(guān)鍵或高風(fēng)險(xiǎn)資源。

Westervelt表示，例如，網(wǎng)絡(luò)分段在零售領(lǐng)域很普遍。許多商家將其支付環(huán)境與其他網(wǎng)絡(luò)流量隔離開來(lái)，以縮小支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS）的范圍，該標(biāo)準(zhǔn)旨在確保公司接受、處理、存儲(chǔ)或傳輸信用卡信息的一組安全標(biāo)準(zhǔn)維持安全的環(huán)境。

Westervelt說(shuō)，“這并不是萬(wàn)無(wú)一失的，因?yàn)檎缥覀冊(cè)诹闶凵蘐arget公司的數(shù)據(jù)泄露事件中所看到的那樣，攻擊者可以找到從一個(gè)系統(tǒng)跳到另一個(gè)系統(tǒng)的方法。這樣做需要更多的技巧和資源;足以阻止許多出于經(jīng)濟(jì)動(dòng)機(jī)的攻擊者。但這是可以完成的?！?/p>

Westervelt說(shuō)，多年來(lái)，Target公司數(shù)據(jù)泄露的細(xì)節(jié)一直令人困惑。她說(shuō)，“攻擊者使用被盜的憑證來(lái)訪問(wèn)Target公司用來(lái)支付其HVAC供應(yīng)商的承包商計(jì)費(fèi)系統(tǒng)。從那里，他們可以訪問(wèn)網(wǎng)絡(luò)，并橫向移動(dòng)到POS（銷售點(diǎn)）系統(tǒng)?！?/p>

Westervelt說(shuō)，微分段還可以用于隔離虛擬環(huán)境中的關(guān)鍵應(yīng)用程序工作負(fù)載。她說(shuō)，“通過(guò)這種方式，企業(yè)可以對(duì)關(guān)鍵工作負(fù)載設(shè)置更嚴(yán)格的控制，并密切監(jiān)視訪問(wèn)和更改?！?/p>

該技術(shù)也被認(rèn)為是工業(yè)控制系統(tǒng)環(huán)境中的優(yōu)秀實(shí)踐。她說(shuō)，“組織可以使用工業(yè)防火墻和單向網(wǎng)關(guān)隔離分配給敏感過(guò)程的關(guān)鍵可編程邏輯控制器?！?/p>

在IT環(huán)境中，可以對(duì)具有全球互聯(lián)網(wǎng)連接的新部署的操作技術(shù)（OT）進(jìn)行分段，以防止攻擊者將其用作生產(chǎn)系統(tǒng)的集結(jié)地或墊腳石。這就是微分段與物聯(lián)網(wǎng)相關(guān)的地方。

Westervelt說(shuō)：“這些操作技術(shù)（OT）包括現(xiàn)代建筑管理系統(tǒng)、太陽(yáng)能電池板、電梯傳感器以及包括滅火系統(tǒng)在內(nèi)的物理安全機(jī)制。目前這并不是一個(gè)重要的領(lǐng)域，但是我們看到一些大型銀行和金融服務(wù)公司減輕了數(shù)據(jù)中心設(shè)施中與操作技術(shù)（OT）相關(guān)的風(fēng)險(xiǎn)。”

網(wǎng)絡(luò)專家說(shuō)，將微分段作為廣泛的物聯(lián)網(wǎng)安全策略的一部分進(jìn)行部署可能很有意義。

獨(dú)立的信息安全顧問(wèn)Kevin Beaver表示：“這種網(wǎng)絡(luò)模型可以對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行更精細(xì)的控制，并在利用安全漏洞的情況下實(shí)現(xiàn)更好的隔離。這些好處不僅可以幫助改善安全可見(jiàn)性和控制，而且還可以改善事件響應(yīng)和取證?！?/p>

研究機(jī)構(gòu)Gartner公司的分析師Jon Amato表示，“這項(xiàng)技術(shù)可能是從IT系統(tǒng)中分割物聯(lián)網(wǎng)網(wǎng)絡(luò)的一種非常有效的方法。微分段產(chǎn)品還具有創(chuàng)建虛擬分段的能力，這種虛擬分段可以將設(shè)備類型彼此分離，甚至跨越多個(gè)物理位置?！?/p>

Amato說(shuō)，這也與美國(guó)國(guó)土安全部（DHS）等組織的物聯(lián)網(wǎng)安全指南保持一致。美國(guó)國(guó)土安全部（DHS）在其《確保物聯(lián)網(wǎng)安全的戰(zhàn)略原則》報(bào)告中提出了組織權(quán)衡連通性的好處與它帶來(lái)的風(fēng)險(xiǎn)：

報(bào)告說(shuō)：“鑒于物聯(lián)網(wǎng)設(shè)備的使用以及與物聯(lián)網(wǎng)設(shè)備相關(guān)的風(fēng)險(xiǎn)，特別是在工業(yè)環(huán)境中，物聯(lián)網(wǎng)用戶應(yīng)慎重考慮是否需要連接。物聯(lián)網(wǎng)消費(fèi)者還可以通過(guò)謹(jǐn)慎連接，并權(quán)衡可能限制物聯(lián)網(wǎng)設(shè)備發(fā)生故障或限制連接到互聯(lián)網(wǎng)的成本，來(lái)幫助控制網(wǎng)絡(luò)連接所帶來(lái)的潛在威脅。”

Amato說(shuō)，微分段非常符合此建議。他說(shuō)，“僅創(chuàng)建一個(gè)物聯(lián)網(wǎng)細(xì)分市場(chǎng)還遠(yuǎn)遠(yuǎn)不夠，還需要將這些設(shè)備彼此分割開來(lái)。而且，大多數(shù)物聯(lián)網(wǎng)設(shè)備缺少基于主機(jī)的控件，因此企業(yè)只能使用微分段等解決方案來(lái)實(shí)現(xiàn)這一目標(biāo)。”

物聯(lián)網(wǎng)安全的微細(xì)分發(fā)展緩慢

Amato說(shuō)，盡管具有潛在的優(yōu)勢(shì)，但迄今為止，似乎沒(méi)有廣泛采用微分段技術(shù)來(lái)實(shí)現(xiàn)物聯(lián)網(wǎng)安全。

Amato說(shuō)，“我所看到的是，只有那些已經(jīng)擁有成熟的物聯(lián)網(wǎng)安全計(jì)劃的組織才能實(shí)現(xiàn)微分段，或者將現(xiàn)有的程序擴(kuò)展到物聯(lián)網(wǎng)領(lǐng)域。對(duì)于大多數(shù)組織來(lái)說(shuō)，將IT和物聯(lián)網(wǎng)彼此分開只是他們現(xiàn)在可以做的最好的事情，在研究使物聯(lián)網(wǎng)全部工作所涉及的工作水平之后，實(shí)際上進(jìn)行物聯(lián)網(wǎng)微分段的企業(yè)要少得多。”

Beaver說(shuō)，對(duì)于構(gòu)建物聯(lián)網(wǎng)基礎(chǔ)設(shè)施的組織來(lái)說(shuō)，重要的是要考慮他們是否真的需要對(duì)物聯(lián)網(wǎng)安全進(jìn)行微分段。

Beaver說(shuō)，“企業(yè)必須確定當(dāng)前的風(fēng)險(xiǎn)級(jí)別和業(yè)務(wù)流程，每一項(xiàng)新技術(shù)或控制都會(huì)帶來(lái)意想不到的后果。與零信任模型相關(guān)的其他復(fù)雜性是否會(huì)以抵消可察覺(jué)的利益的方式影響企業(yè)的安全計(jì)劃？”

一個(gè)很好的做法是徹底了解物聯(lián)網(wǎng)如何影響企業(yè)中的所有網(wǎng)絡(luò)，以便確定確保數(shù)據(jù)安全傳輸?shù)暮梅椒ā?/p>

Beaver說(shuō)，“企業(yè)實(shí)際上可以強(qiáng)制執(zhí)行（包括物聯(lián)網(wǎng)）的安全標(biāo)準(zhǔn)和策略，如果企業(yè)以基于風(fēng)險(xiǎn)的觀點(diǎn)進(jìn)行處理，并希望將網(wǎng)絡(luò)復(fù)雜性降到很低，那么可能就能夠控制其物聯(lián)網(wǎng)環(huán)境?！?/p>

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。