“物联网”这个术语诞生至今已有近二十年,但我们仍面临同样的问题:“谁负责确保数十亿物联网设备的安全?”鉴于近期的市场进展,你以为我们已搞清楚了这个问题,实则没有那么简单。
虽然物联网安全一直是讨论的热门话题,但它变得比以往更重要、也更具挑战性。首先,运营技术(OT)部门完全负责保护物联网安全的时代已过去,之前它们将生产运营和工业网络与企业网络和互联网实现物理分离,常采取“通过隐匿来实现安全”的做法。虽然企业意识到需要将IT与OT融合起来,以支持新的使用场合、支持网络和应用程序之间开放的数据流、支持更好的业务决策、降低成本以及降低复杂性,但IT实践和OT实践的空白当中出现了新的攻击面。
其次,网络犯罪分子日益暴露这些岌岌可危的攻击面找物联网下手。研究表明,由物联网设备变成物联网僵尸网络的主体发动的DDoS(分布式拒绝服务)日益猖獗。比如说,Mirai僵尸网络感染了成千上万个物联网设备,让它们得以协同开展大规模网络攻击。
第三,说到物联网安全,每个垂直领域有所不同,一些有关键或关键任务型基础设施,还有不同的监管法规。比如在公用事业行业,美国政府最近下令采用《北美电力可靠性公司关键基础设施保护》(NERC CIP)第5版作为网络安全标准,医疗保健行业要求遵循《健康保险可携性及责任性法案》(HIPPA)以确保数据数据安全。
虽然全球的企业IT、首席信息安全官和政府在物联网安全方面发挥着核心作用,但是围绕一系列核心需求(以满足安全、数据保护和隐私方面的关键要求)达成共识,这是每个人、尤其是行业的责任。
一、从设备到行业标准
设备厂商和安全厂商对物联网生态系统来说很重要。然而,设备厂商迟迟没有大力搞好安全,原因是这会增加成本、复杂性和上市时间。鉴于许多厂商的安全做法明显失策,比如将默认名称和密码做入到设备中,消费级物联网设备已非常容易中招。
然而2016年爆出一系列备受瞩目的消费级物联网攻击事件后,不光各国政府在考虑监管,更多的设备厂商也终于开始在物联网安全方面有适当的投入。这些厂商采取双管齐下的做法:保护设备免受网络的影响,反之亦然。比如说,厂商现在可以通过使用IETF MUD标准为设备添加一道额外的安全,让它们能够“告诉”网络该设备需要什么样的访问权限。这让网络得以拒绝该设备的任何异常请求。
同时,工业物联网厂商在大力合作,为物联网安全建立标准、互操作性和认证。比如说,ODVA、OPC和ISA等制造标准制定机构努力在安全方面与IEC 62443保持一致。这些标准将较高层面的针对特定垂直行业的最佳实践与工业安全等常见要素的横向方法结合起来。此外,IETF、工业互联网联盟(IIC)安全工作组和IEEE等组织一直在积极开发物联网安全框架、标准和方法,确保不同品牌、型号和类型的互联物联网系统实现网络安全。这将帮助企业在开发和部署物联网解决方案时减小风险。
物联网环境比传统IT环境来得更分布式、更异构、更复杂,而且常常规模大得多,其独特挑战使各有关方的工作变得更复杂。这把我们引到了物联网安全的下一道防线:所在企业。
二、企业最佳实践
由于厂商们奋力应对物联网安全挑战,积极采用互操作性标准,各行各业的企业也要尽全力来保护物联网,防止可能灾难性的网络攻击。关键战术包括深入了解企业网络、网络端点、物联网设备和云基础设施。为此,考虑采用下列工具和最佳实践:
1. 清点连接到网络的设备和系统
安全团队通常只有将管理设备的快照视图或过时列表作为参考。尽量使发现设备的过程自动化,准确了解哪些设备在运行哪些操作系统,迅速打上补丁,修复已知的安全漏洞。此外搞一个集中式平台,可以整合所有物联网项目,为你提供可见性(和安全性),以便从不同系统之间共享的数据获得新的价值。
2. 采用实时监控和泄露路径检测
关注这类解决方案:密切监控网络流量,检测攻击者,跟踪物联网设备如何与网络及其他设备交互。如果物联网设备在扫描另一个设备,或者原本稳定的流量模式发生变化,这很可能表明存在恶意活动。比如说,如果暖通空调系统与销售点(POS)系统联系,或者如果POS突然将数据发送到云,你可以迅速标记出来,禁止该活动。
3. 实施网络分段和基于角色的访问控制
确保只有授权的人、机器或进程才能访问某些类别的设备或数据流。根本没有理由允许暖通空调与POS联系。为了防止这种联系,将这些系统隔离在不同的网段上,记得定期审查分段策略、定期测试效果。
4. 培训员工,打造安全意识文化
你的员工(不管什么样的角色)应该是抵御无数威胁的第一道防线。像物联网本身一样,安全教育绝不“一劳永逸”。IT和物联网面临的另一个问题是,60%的安全威胁来自内部。这些安全威胁中四分之一是无意的:从点击网络钓鱼邮件中的链接,到不小心为未佩戴证件的人开大门。重申一下,确保物联网安全是每个人的份内事。
虽然这些最佳实践有助于保护物联网,但归根结蒂企业要采取综合的、基于策略的物联网安全方法,将数据安全、设备安全和物理安全整合起来。这样才能支持新型的物联网使用场合,为客户提供单一责任点。由于每年有数十亿新设备上线,网络边界或“通过隐匿来实现安全”这种防御机制已无法确保物联网系统的安全。如果我们想获得联网系统的全部好处,每个人都要做好份内事。
那么,你在确保物联网安全方面的角色又是什么呢?
原文标题:IoT security: whose job is it anyway?,作者:Maciej Kranz