微隔離對(duì)于物聯(lián)網(wǎng)安全能否起到作用

將數(shù)據(jù)中心使用的微隔離技術(shù) （MicroSegmentation） 作為 IoT 物聯(lián)網(wǎng)安全策略的一部分進(jìn)行部署，可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)更細(xì)粒度的控制，并實(shí)現(xiàn)更好的隔離。

隨著等保 2.0 將物聯(lián)網(wǎng)和工控系統(tǒng)納入等級(jí)保護(hù)監(jiān)管，處于起步階段的物聯(lián)網(wǎng)和工控安全將迎來(lái)快速發(fā)展。與此同時(shí)，隨著物聯(lián)網(wǎng)部署的快速增長(zhǎng)，該領(lǐng)域面臨的安全威脅也越來(lái)越大。根據(jù)研究公司 Ponemon InsTItute 和風(fēng)險(xiǎn)管理服務(wù)公司 The Santa Fe Group 的報(bào)告，自2017 年以來(lái)，與 IoT 相關(guān)的數(shù)據(jù)泄露事件 “急劇” 增加。使問(wèn)題進(jìn)一步復(fù)雜化的是，大多數(shù)企業(yè)并不了解其環(huán)境中（包括）第三方供應(yīng)商的每一個(gè) IoT 設(shè)備或應(yīng)用程序的安全性。Ponemon 的研究表明，許多組織沒(méi)有解決或管理物聯(lián)網(wǎng)風(fēng)險(xiǎn)的集中責(zé)任制，并且大多數(shù)人認(rèn)為他們的數(shù)據(jù)將在未來(lái) 24 個(gè)月內(nèi)遭到破壞。

IoT 安全風(fēng)險(xiǎn)對(duì)于醫(yī)療等行業(yè)而言尤為嚴(yán)峻，因?yàn)榻K端設(shè)備會(huì)通過(guò)網(wǎng)絡(luò)收集和共享大量敏感信息。研究公司 Vanson Bourne 調(diào)查了 232 個(gè)醫(yī)療行業(yè)用戶(hù)發(fā)現(xiàn)，82% 的受訪者在過(guò)去一年中遭遇過(guò)以物聯(lián)網(wǎng)為中心的網(wǎng)絡(luò)攻擊。醫(yī)療機(jī)構(gòu)最常見(jiàn)的漏洞分布如下：網(wǎng)絡(luò) （50%），移動(dòng)設(shè)備和隨附的應(yīng)用程序 （45%），以及物聯(lián)網(wǎng)設(shè)備 （42%）。

微隔離，更好的選擇

早在 2017 年，Gartner 就將微隔離技術(shù) （MicrosegmentaTIon） 評(píng)為 11 大最值得關(guān)注的信息安全技術(shù)。

當(dāng)攻擊者滲透進(jìn)入企業(yè)系統(tǒng)獲得據(jù)點(diǎn)，通常都能在周邊系統(tǒng)自由拓展。微隔離技術(shù)能夠在虛擬數(shù)據(jù)中心中進(jìn)行隔離劃分，防范攻擊者的內(nèi)部游走，將攻擊導(dǎo)致的損失降至最低。

近年來(lái)推動(dòng)微隔離技術(shù)發(fā)展的主要?jiǎng)恿κ擒浖x網(wǎng)絡(luò) （SDN） 和網(wǎng)絡(luò)虛擬化的出現(xiàn)。通過(guò)使用與網(wǎng)絡(luò)硬件分離的軟件，與那些尚未與底層硬件分離的軟件相比，分段（隔離）更容易實(shí)現(xiàn)。

相比防火墻這種以邊界為中心的產(chǎn)品，微隔離技術(shù)大大提高了數(shù)據(jù)中心的流量控制能力，因此可以有效阻止攻擊者進(jìn)入網(wǎng)絡(luò)進(jìn)行破壞。

微隔離也有管理上的好處。IDC 的 IoT 安全分析師 Robyn Westervelt 表示：

如果可以正確實(shí)施微分段，則可以在 IoT 設(shè)備和其他敏感資源之間添加一層安全保護(hù)，而不會(huì)在防火墻上造成漏洞 。但是底層的基礎(chǔ)架構(gòu)必須支持這種方法，并且可能需要安裝比較新的交換機(jī)、網(wǎng)關(guān)等。

對(duì)于工業(yè)物聯(lián)網(wǎng)來(lái)說(shuō)，內(nèi)部防火墻太貴太復(fù)雜

保護(hù)工業(yè)物聯(lián)網(wǎng) （IIoT） 環(huán)境的一種方法是使用內(nèi)部防火墻。這似乎是一個(gè)顯而易見(jiàn)的選擇，因?yàn)閮?nèi)部防火墻已成為所有安全保護(hù)的事實(shí)標(biāo)準(zhǔn)。但是，在工業(yè)物聯(lián)網(wǎng)環(huán)境中，由于成本和復(fù)雜性，防火墻可能是最差的選擇。

從歷史上看，內(nèi)部防火墻被部署在流量沿 “南北” 方向移動(dòng)的地方，并會(huì)通過(guò)單個(gè)入口/出口點(diǎn)，例如核心交換機(jī)。而且，連接的設(shè)備都是可知和可管理的。但在工業(yè)物聯(lián)網(wǎng)中，連接變得更加動(dòng)態(tài)，流量可以 “東西向” 模式在設(shè)備之間流動(dòng)，從而繞過(guò)防火墻所在的位置。這意味著安全團(tuán)隊(duì)需要在每個(gè)可能的 IIoT 連接點(diǎn)部署內(nèi)部防火墻，然后跨數(shù)百個(gè)（可能是數(shù)千個(gè)）防火墻管理策略和配置，從而造成幾乎無(wú)法控制的局面。

專(zhuān)門(mén)研究 IIoT 安全解決方案的 Tempered Networks 總裁兼首席執(zhí)行官Jeff Hussey透露，他們的一個(gè)客戶(hù)對(duì)內(nèi)部防火墻需求進(jìn)行評(píng)估后，發(fā)現(xiàn)其成本高達(dá) 1 億美元，運(yùn)營(yíng)方面的挑戰(zhàn)同樣巨大。另外一個(gè)醫(yī)療企業(yè)嘗試使用防火墻規(guī)則、ACL、VLAN 和 VPN 的組合來(lái)保護(hù)其環(huán)境，但是發(fā)現(xiàn)無(wú)法承受 “高度復(fù)雜性帶來(lái)的運(yùn)營(yíng)開(kāi)銷(xiāo)”。

國(guó)際控制系統(tǒng)網(wǎng)絡(luò)安全協(xié)會(huì) （CS2AI） 的創(chuàng)始人兼董事長(zhǎng) Derek Harp 認(rèn)為，隨著第三方不斷需要從內(nèi)部系統(tǒng)訪問(wèn)數(shù)據(jù)，隨著工業(yè)物聯(lián)網(wǎng)自身的不斷發(fā)展和開(kāi)放，當(dāng)前的IIoT環(huán)境變得越來(lái)越 “千瘡百孔”。IIoT 網(wǎng)絡(luò)安全團(tuán)隊(duì)面臨的挑戰(zhàn)遠(yuǎn)超傳統(tǒng)安全團(tuán)隊(duì)。

對(duì)于工業(yè)物聯(lián)網(wǎng)，微隔離優(yōu)于內(nèi)部防火墻

工業(yè)物聯(lián)網(wǎng)安全專(zhuān)業(yè)人員應(yīng)該使用微隔離，而不是內(nèi)部防火墻。微隔離類(lèi)似于 VLAN 和 ACL，但是環(huán)境隔離是在設(shè)備級(jí)別完成的，通過(guò)規(guī)則而不是在網(wǎng)絡(luò)層進(jìn)行管理。使用 VLAN 和 ACL，需要將所有設(shè)備（包括 IIoT 端點(diǎn)）分配給 VLAN。如果端點(diǎn)移動(dòng)，則需要重新配置網(wǎng)絡(luò)以適應(yīng)。否則該設(shè)備將無(wú)法連接，或者與被破壞的設(shè)備、可能發(fā)生不良情況的設(shè)備位于同一網(wǎng)絡(luò)上。

幾年前的 Target 違規(guī)就是一個(gè)很好的例子，零售商的 HVAC 系統(tǒng)遭到破壞，這為銷(xiāo)售點(diǎn) （PoS） 系統(tǒng)制造了后門(mén)。傳統(tǒng)的安全性在高度靜態(tài)的環(huán)境中非常有效，但是 IIoT 可以通過(guò)設(shè)備定期加入和離開(kāi)網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)高度動(dòng)態(tài)。

工業(yè)物聯(lián)網(wǎng)是微隔離下一個(gè)優(yōu)秀用例

微隔離的優(yōu)點(diǎn)是可以在軟件中配置，并且在設(shè)備連接層上運(yùn)行，是基于端點(diǎn)的策略。例如，可以創(chuàng)建一個(gè)微隔離規(guī)則，讓所有醫(yī)療設(shè)備都位于特定的段中，并且與其余連接的節(jié)點(diǎn)隔離。如果移動(dòng)了醫(yī)療設(shè)備，則該策略將隨之而動(dòng)，無(wú)需重新配置。如果 Target 一直在使用 IIoT 微隔離，并且 HVAC 空暖控制系統(tǒng)和 PoS 系統(tǒng)位于不同的微分段，那么黑客能做的最壞的事情無(wú)非就是讓商場(chǎng)室溫升高。

微隔離已經(jīng)應(yīng)用于數(shù)據(jù)中心，以保護(hù)在虛擬機(jī)和容器之間流動(dòng)的橫向流量。網(wǎng)絡(luò)安全團(tuán)隊(duì)現(xiàn)在應(yīng)該尋求將該技術(shù)推廣和擴(kuò)展到更多應(yīng)用場(chǎng)景，保護(hù)工業(yè)物聯(lián)網(wǎng)端點(diǎn)就是一個(gè)優(yōu)秀的用例。這將使企業(yè)能夠推進(jìn)數(shù)字化轉(zhuǎn)型計(jì)劃，而不會(huì)給公司帶來(lái)風(fēng)險(xiǎn)。