物聯(lián)網(wǎng)安全可以依靠微隔離嗎
掃描二維碼
隨時(shí)隨地手機(jī)看文章
將數(shù)據(jù)中心使用的微隔離技術(shù) (MicroSegmentation) 作為 IoT 物聯(lián)網(wǎng)安全策略的一部分進(jìn)行部署,可以實(shí)現(xiàn)對網(wǎng)絡(luò)系統(tǒng)更細(xì)粒度的控制,并實(shí)現(xiàn)更好的隔離。
隨著等保 2.0 將物聯(lián)網(wǎng)和工控系統(tǒng)納入等級保護(hù)監(jiān)管,處于起步階段的物聯(lián)網(wǎng)和工控安全將迎來快速發(fā)展。與此同時(shí),隨著物聯(lián)網(wǎng)部署的快速增長,該領(lǐng)域面臨的安全威脅也越來越大。根據(jù)研究公司 Ponemon InsTItute 和風(fēng)險(xiǎn)管理服務(wù)公司 The Santa Fe Group 的報(bào)告,自2017 年以來,與 IoT 相關(guān)的數(shù)據(jù)泄露事件 “急劇” 增加。使問題進(jìn)一步復(fù)雜化的是,大多數(shù)企業(yè)并不了解其環(huán)境中(包括)第三方供應(yīng)商的每一個(gè) IoT 設(shè)備或應(yīng)用程序的安全性。Ponemon 的研究表明,許多組織沒有解決或管理物聯(lián)網(wǎng)風(fēng)險(xiǎn)的集中責(zé)任制,并且大多數(shù)人認(rèn)為他們的數(shù)據(jù)將在未來 24 個(gè)月內(nèi)遭到破壞。
IoT 安全風(fēng)險(xiǎn)對于醫(yī)療等行業(yè)而言尤為嚴(yán)峻,因?yàn)榻K端設(shè)備會(huì)通過網(wǎng)絡(luò)收集和共享大量敏感信息。研究公司 Vanson Bourne 調(diào)查了 232 個(gè)醫(yī)療行業(yè)用戶發(fā)現(xiàn),82% 的受訪者在過去一年中遭遇過以物聯(lián)網(wǎng)為中心的網(wǎng)絡(luò)攻擊。醫(yī)療機(jī)構(gòu)最常見的漏洞分布如下:網(wǎng)絡(luò) (50%),移動(dòng)設(shè)備和隨附的應(yīng)用程序 (45%),以及物聯(lián)網(wǎng)設(shè)備 (42%)。
微隔離,更好的選擇
早在 2017 年,Gartner 就將微隔離技術(shù) (MicrosegmentaTIon) 評為 11 大最值得關(guān)注的信息安全技術(shù)。
當(dāng)攻擊者滲透進(jìn)入企業(yè)系統(tǒng)獲得據(jù)點(diǎn),通常都能在周邊系統(tǒng)自由拓展。微隔離技術(shù)能夠在虛擬數(shù)據(jù)中心中進(jìn)行隔離劃分,防范攻擊者的內(nèi)部游走,將攻擊導(dǎo)致的損失降至最低。
近年來推動(dòng)微隔離技術(shù)發(fā)展的主要?jiǎng)恿κ擒浖x網(wǎng)絡(luò) (SDN) 和網(wǎng)絡(luò)虛擬化的出現(xiàn)。通過使用與網(wǎng)絡(luò)硬件分離的軟件,與那些尚未與底層硬件分離的軟件相比,分段(隔離)更容易實(shí)現(xiàn)。
相比防火墻這種以邊界為中心的產(chǎn)品,微隔離技術(shù)大大提高了數(shù)據(jù)中心的流量控制能力,因此可以有效阻止攻擊者進(jìn)入網(wǎng)絡(luò)進(jìn)行破壞。
微隔離也有管理上的好處。IDC 的 IoT 安全分析師 Robyn Westervelt 表示:
如果可以正確實(shí)施微分段,則可以在 IoT 設(shè)備和其他敏感資源之間添加一層安全保護(hù),而不會(huì)在防火墻上造成漏洞 。但是底層的基礎(chǔ)架構(gòu)必須支持這種方法,并且可能需要安裝比較新的交換機(jī)、網(wǎng)關(guān)等。
對于工業(yè)物聯(lián)網(wǎng)來說,內(nèi)部防火墻太貴太復(fù)雜
保護(hù)工業(yè)物聯(lián)網(wǎng) (IIoT) 環(huán)境的一種方法是使用內(nèi)部防火墻。這似乎是一個(gè)顯而易見的選擇,因?yàn)閮?nèi)部防火墻已成為所有安全保護(hù)的事實(shí)標(biāo)準(zhǔn)。但是,在工業(yè)物聯(lián)網(wǎng)環(huán)境中,由于成本和復(fù)雜性,防火墻可能是最差的選擇。
從歷史上看,內(nèi)部防火墻被部署在流量沿 “南北” 方向移動(dòng)的地方,并會(huì)通過單個(gè)入口/出口點(diǎn),例如核心交換機(jī)。而且,連接的設(shè)備都是可知和可管理的。但在工業(yè)物聯(lián)網(wǎng)中,連接變得更加動(dòng)態(tài),流量可以 “東西向” 模式在設(shè)備之間流動(dòng),從而繞過防火墻所在的位置。這意味著安全團(tuán)隊(duì)需要在每個(gè)可能的 IIoT 連接點(diǎn)部署內(nèi)部防火墻,然后跨數(shù)百個(gè)(可能是數(shù)千個(gè))防火墻管理策略和配置,從而造成幾乎無法控制的局面。
專門研究 IIoT 安全解決方案的 Tempered Networks 總裁兼首席執(zhí)行官Jeff Hussey透露,他們的一個(gè)客戶對內(nèi)部防火墻需求進(jìn)行評估后,發(fā)現(xiàn)其成本高達(dá) 1 億美元,運(yùn)營方面的挑戰(zhàn)同樣巨大。另外一個(gè)醫(yī)療企業(yè)嘗試使用防火墻規(guī)則、ACL、VLAN 和 VPN 的組合來保護(hù)其環(huán)境,但是發(fā)現(xiàn)無法承受 “高度復(fù)雜性帶來的運(yùn)營開銷”。
國際控制系統(tǒng)網(wǎng)絡(luò)安全協(xié)會(huì) (CS2AI) 的創(chuàng)始人兼董事長 Derek Harp 認(rèn)為,隨著第三方不斷需要從內(nèi)部系統(tǒng)訪問數(shù)據(jù),隨著工業(yè)物聯(lián)網(wǎng)自身的不斷發(fā)展和開放,當(dāng)前的IIoT環(huán)境變得越來越 “千瘡百孔”。IIoT 網(wǎng)絡(luò)安全團(tuán)隊(duì)面臨的挑戰(zhàn)遠(yuǎn)超傳統(tǒng)安全團(tuán)隊(duì)。
對于工業(yè)物聯(lián)網(wǎng),微隔離優(yōu)于內(nèi)部防火墻
工業(yè)物聯(lián)網(wǎng)安全專業(yè)人員應(yīng)該使用微隔離,而不是內(nèi)部防火墻。微隔離類似于 VLAN 和 ACL,但是環(huán)境隔離是在設(shè)備級別完成的,通過規(guī)則而不是在網(wǎng)絡(luò)層進(jìn)行管理。使用 VLAN 和 ACL,需要將所有設(shè)備(包括 IIoT 端點(diǎn))分配給 VLAN。如果端點(diǎn)移動(dòng),則需要重新配置網(wǎng)絡(luò)以適應(yīng)。否則該設(shè)備將無法連接,或者與被破壞的設(shè)備、可能發(fā)生不良情況的設(shè)備位于同一網(wǎng)絡(luò)上。
幾年前的 Target 違規(guī)就是一個(gè)很好的例子,零售商的 HVAC 系統(tǒng)遭到破壞,這為銷售點(diǎn) (PoS) 系統(tǒng)制造了后門。傳統(tǒng)的安全性在高度靜態(tài)的環(huán)境中非常有效,但是 IIoT 可以通過設(shè)備定期加入和離開網(wǎng)絡(luò)來實(shí)現(xiàn)高度動(dòng)態(tài)。
工業(yè)物聯(lián)網(wǎng)是微隔離下一個(gè)優(yōu)秀用例
微隔離的優(yōu)點(diǎn)是可以在軟件中配置,并且在設(shè)備連接層上運(yùn)行,是基于端點(diǎn)的策略。例如,可以創(chuàng)建一個(gè)微隔離規(guī)則,讓所有醫(yī)療設(shè)備都位于特定的段中,并且與其余連接的節(jié)點(diǎn)隔離。如果移動(dòng)了醫(yī)療設(shè)備,則該策略將隨之而動(dòng),無需重新配置。如果 Target 一直在使用 IIoT 微隔離,并且 HVAC 空暖控制系統(tǒng)和 PoS 系統(tǒng)位于不同的微分段,那么黑客能做的最壞的事情無非就是讓商場室溫升高。
微隔離已經(jīng)應(yīng)用于數(shù)據(jù)中心,以保護(hù)在虛擬機(jī)和容器之間流動(dòng)的橫向流量。網(wǎng)絡(luò)安全團(tuán)隊(duì)現(xiàn)在應(yīng)該尋求將該技術(shù)推廣和擴(kuò)展到更多應(yīng)用場景,保護(hù)工業(yè)物聯(lián)網(wǎng)端點(diǎn)就是一個(gè)優(yōu)秀的用例。這將使企業(yè)能夠推進(jìn)數(shù)字化轉(zhuǎn)型計(jì)劃,而不會(huì)給公司帶來風(fēng)險(xiǎn)。