企业的安全团队应该采取一些措施和步骤,为2020年物联网面临不断发展的安全威胁做好准备。
在新的一年到来的时候,安全行业的人士总在问这些问题:在未来一年面临的安全挑战是否与往年有所不同?企业是否应该改变防御策略,尤其是在运营技术(OT)、物联网(IoT)和关键基础设施组件方面?
安全厂商Nominet公司网络安全副总裁StuartReed表示:“在网络安全的总体趋势中,我们看到的是,这里一直都是一个充满活力的地方,但现在网络攻击没有界限。”他解释说,那些针对运营技术(OT)跨越边界的网络攻击可能会产生超出IT系统之外,甚至对人类的生命和安全产生直接影响。
运营技术(OT)和物联网(IoT)设备的安全性工作很复杂,而运营技术(OT)和物联网(IoT)的设计安全性目前不是IT系统的标准。Reed说:“许多控制系统和运营技术(OT)基础设施从来没有设计过以数字方式连接到其他任何地方。”他解释说,但是数字化的持续发展趋势意味着很少有运营技术(OT)系统可以长期隔离网络攻击。
随着网络犯罪分子和激进国家的网络威胁不断发展,安全团队应采取哪些步骤来保护其组织拥有的运营技术(OT)和物联网(IoT)系统?网络安全专家对如何应对2020年物联网威胁提出了一些建议。他们希望在未来一年无论威胁环境如何变化,都确保其运营技术(OT)系统尽可能安全。以下是网络安全专家提出的七个安全注意事项:
1.注意边缘
nVisium公司首席执行官JackMannino说:“随着边缘计算和分布式传感器网络的增长,云计算基础设施和边缘设备成为网络攻击者越来越关注的目标。使边缘设备不受攻击者控制的关键是采用混合方法来解决问题。”
Mannino说,“边缘计算需要采用混合云方法,其中边缘设备和云计算服务必须在每一层建立信任。用户决定如何建立信任并成为业务流程的一部分,首先要详细分析边缘设备如何生成数据、生成什么类型的数据,以及将数据传输到应用程序基础架构的其余部分的过程。”
就像传统的IT攻击者通常选择用户作为进入网络的方式一样,那些想要破坏企业物联网设备的网络攻击者可能会看到边缘设备托管最简单的进入端口,这使用户将注意力集中在网络中心上,忽视了边缘上比较脆弱的设备。
2.安全培训
Reed说,尽管恶意软件和基于物联网的攻击变得越来越复杂,但成功进行攻击并不需要高度复杂的技术。他解释说:“如果人们不了解自己在良好的网络卫生中所扮演的角色和责任,那么可能会发生一些非常基本的攻击。”
这些角色和职责包括一些显而易见的要点,比如不要点击来自未知或意外来源的附件,但它们远远超出了这些基本要求。毕竟,保护重要的数据和基础设施,InformationSecurityForum常务董事SteveDurbin表示:“首先要求最终用户接受数据需要保护的理念。由于有着不同的社会规范,涉及数据的公认价值,因此需要保护数据,以及谁应该首先负责保护数据。”
Reed说,最大限度地降低员工行为风险的关键是安全教育和培训。他解释说:“除了培训课程,我认为安全教育可以采取多种不同的形式。例如在线媒体在更广阔网络安全教育方面扮演着非常关键的角色。”
3.物联网的可见性
与安全专家进行对话时,一个共同的主题是需要更好地了解用户的网络和基础设施。这种需求不会随着传统IT和物联网设备之间的划分而停止。
Thycotic公司首席安全科学家Carson说:“如果没有物联网设备及其带来的风险,就无法确定物联网数据的潜在安全和隐私风险。要了解物联网设备的风险,用户首先想知道其功能或用途,例如是数据收集器、数据处理器还是数据相关器。在确定作为基础设施的一部分的设备之后,了解功能是第二步。”
安全专业人员在提高其整体基础设施的物联网的可见性方面应该做些什么?nVisium公司Mannino说,“这项工作应该从对物联网设备等资产的架构蓝图进行一致的安全分析,以找出缺失和设计错误的架构控制,并在允许的情况下采用一致的安全代码分析。”
4.消费者设备问题
如果用户有一个网络,则很有可能将消费类设备连接到基础设施。企业员工已将消费类设备作为日常生活的一部分,大多数员工都不愿意放弃这些设备的优势。Durbin说,“当这些消费者工作时,他们也希望将这些功能强大的设备用于业务应用,而在过去的几年中,这导致组织与个人之间,个人信息与公开可用的详细信息之间的界限越来越模糊。”
在许多情况下,问题并非始于员工使用自己的设备,而是始于许多消费类设备在设计之初就并未被设计为安全的业务设备。此外,Dubirn说,“这些设备的使用方式模糊了个人和企业使用与行为之间的界限。其潜在的风险包括滥用设备本身、外部利用软件漏洞,以及部署未经测试的、不可靠的业务应用程序。”
在处理整个物联网环境中可能涉及的云计算服务和物联网设备时,安全专业人员需要积极与他们的供应商和合作伙伴互动,以确保基本组件能够安全使用。例如,Acceptto公司首席安全架构师FaustoOliveira表示,物联网设备必须具有更改默认用户名和密码的能力,以及与网络中上游和下游系统进行加密通信的能力。Oliveira说:“企业需要供应商提供强有力的指导,并确保在选择过程中,安全是一项明确定义的功能。”他表示,这符合供应商及其用户的最大利益,以确保整个系统尽可能安全。
5.物联网连接安全性
当然会有一些小型组织(以及高度安全的政府或军事机构)的物联网设备不包含互联网连接。但是对于大多数组织而言,移动、分析和使用其边缘设备中的数据意味着将设备连接到全球互联网和一个或多个云计算服务。nVisium公司的Mannino指出,“随着边缘计算和分布式传感器网络的增加,云计算基础设施和边缘设备已成为一种趋势。而这对于网络攻击者来说越来越有吸引力。”
Vectra公司安全分析主管ChrisMorales简洁地解释了这一点。他说,“与传统的桌面系统不同,物联网设备需要确保存储和锁定的数据不会被窥视,物联网设备被设计为彼此共享信息,并共享到远程存储位置进行分析,并为企业提供对其数据的远程访问。这通常需要物联网设备制造商托管的云存储。”
在处理可能涉及整个物联网环境的云计算服务和物联网设备时,安全专业人员需要积极与其供应商和合作伙伴接洽,以确保基本组件能够安全使用。例如,Acceptto公司首席安全架构师FaustoOliveira表示,设备必须能够更改默认用户名和密码,以及与网络上下游系统进行加密通信的能力。他说,“组织需要向供应商提供强有力的指导,并确保在选择过程中,安全性是一个明确定义的特性,是不可选择的,确保整个系统尽可能安全符合供应商和客户的最大利益。”
6.专注于物联网设备敏捷性
物联网的两个特点使扩展运营技术(OT)变得如此脆弱,这就是大量物联网设备的不可改变的特性。易受攻击、静态和持久性并不是大多数专业人员在安全基础设施中需要的特性。
Acceptto公司的Oliveira说:“需要取消默认用户名和密码以及不安全的协议(如telnet),并采用更好的方法来实现可管理性,而无需使用易于妥协的默认帐户和不安全的协议。”他坚持认为,仅向供应商强调他们的设备必须允许更改默认凭据和协议是不够的。用户必须将这些作为购买设备的要求。
Oliveira说:“物联网设备需要被视为任何安全资产,因此需要定期管理和审核漏洞。”Nominet的Reed也对此表示认同,他说,“全面的从业人员必须确保他们具有正确的审核、控制、政策,以便能够放心地了解与他们合作的第三方,并且采取更好的安全措施。”
他们都承认,如果无法重新配置基础设施中的设备来解决漏洞,那么可靠的审核和监视的影响将会非常有限。
7.无情数据
物联网的数据生成能力需要符合欧盟的《通用数据保护条例》和最新的《加州消费者隐私法》等法规的要求。因此,Vectra公司的Morales说,“企业需要更加注意设备收集的数据类型以及如何使用这些数据。”他指出,在摄像头、GPS跟踪系统和传感器跟踪业务的每个阶段生成数据的时代,保护个人隐私对于保护用户信息自由至关重要。
Morales说:“物联网设备旨在相互共享信息,并共享给远程存储位置以进行分析,并为企业提供对其数据的远程访问。而且,数据必须在设备中以及从业务流程的一个阶段转移到另一个阶段时都受到保护。”
Acceptto公司的Oliveira说,“与设备之间的所有通信都必须加密,并且在理想情况下,数据流量必须受基于场景和基于角色的访问控制,除非在特殊的情况下,否则没有理由让设备可以通过全球互联网进行连接。”
要了解如何将“无情数据”应用到物联网的各个部分,首先要了解基础设施及其启用的业务流程。Thycotic公司的Carson说:“如果没有物联网设备带来的风险,就无法确定其数据的潜在安全性和隐私风险。在了解物联网设备的作用以及与之相关的数据后,就可以评估采用物联网设备带来的风险。”
评论
查看更多