微分段能為物聯(lián)網(wǎng)帶來什么嗎

作為物聯(lián)網(wǎng)部署安全策略的一部分，微分段可以實現(xiàn)對網(wǎng)絡(luò)系統(tǒng)更加精細(xì)的控制，并在利用安全漏洞時實現(xiàn)更好的隔離。

物聯(lián)網(wǎng)（IoT）為企業(yè)帶來了一些巨大的好處，例如對企業(yè)資產(chǎn)和產(chǎn)品的性能有了更深入的了解，改進(jìn)制造過程，以及更好的客戶服務(wù)。不幸的是，與物聯(lián)網(wǎng)相關(guān)的安全問題仍然是企業(yè)面臨的一個重大問題，在某些情況下，這可能會阻礙企業(yè)的物聯(lián)網(wǎng)應(yīng)用。解決物聯(lián)網(wǎng)安全風(fēng)險的一個可行方案是微分段。專家表示，這是一種網(wǎng)絡(luò)概念，可以幫助控制物聯(lián)網(wǎng)環(huán)境。

借助微分段，組織可以在其數(shù)據(jù)中心和云計算環(huán)境中創(chuàng)建安全區(qū)域，使它們能夠?qū)⒐ぷ髫?fù)載彼此隔離并分別進(jìn)行保護(hù)。在物聯(lián)網(wǎng)環(huán)境中，微分段可以使企業(yè)更好地控制設(shè)備之間發(fā)生的橫向通信數(shù)量的增長，從而繞過以外圍設(shè)備為中心的安全工具。

對于企業(yè)來說，將微分段技術(shù)應(yīng)用于物聯(lián)網(wǎng)可能還為時過早。但業(yè)內(nèi)觀察人士認(rèn)為，物聯(lián)網(wǎng)部署有可能促使企業(yè)采用微分段技術(shù)，以實現(xiàn)比傳統(tǒng)防火墻更精細(xì)、更簡單的保護(hù)。

物聯(lián)網(wǎng)帶來新的安全風(fēng)險

物聯(lián)網(wǎng)安全風(fēng)險可能包括涉及連接設(shè)備本身，支持物聯(lián)網(wǎng)的軟件以及網(wǎng)絡(luò)的多種威脅。

隨著物聯(lián)網(wǎng)部署的增長，對安全的威脅也越來越大。根據(jù)研究機構(gòu)波洛蒙研究所和風(fēng)險管理服務(wù)商The Santa Fe Group的調(diào)查報告，自2017年以來，與物聯(lián)網(wǎng)相關(guān)的數(shù)據(jù)泄露事件急劇增加。使問題進(jìn)一步復(fù)雜化的是，大多數(shù)組織并不了解其環(huán)境中或來自第三方供應(yīng)商的每個不安全的物聯(lián)網(wǎng)設(shè)備或應(yīng)用程序。波洛蒙研究所的研究表明，許多組織沒有解決或管理物聯(lián)網(wǎng)風(fēng)險的集中責(zé)任制，并且大多數(shù)人認(rèn)為他們的數(shù)據(jù)可能會在未來24個月內(nèi)遭到破壞。

物聯(lián)網(wǎng)安全風(fēng)險對于醫(yī)療保健等行業(yè)而言可能更高，因為設(shè)備會通過網(wǎng)絡(luò)收集和共享大量敏感信息。在研究機構(gòu)Vanson Bourne公司調(diào)查的232個醫(yī)療保健組織中，有82%的組織表示，在過去一年中經(jīng)歷了以物聯(lián)網(wǎng)為中心的網(wǎng)絡(luò)攻擊。當(dāng)被要求確定醫(yī)療機構(gòu)中最突出的漏洞在哪里時，網(wǎng)絡(luò)被引用頻率最高（50%），其次是移動設(shè)備和隨附的應(yīng)用程序（45%），以及物聯(lián)網(wǎng)設(shè)備（42%）。

微分段如何幫助物聯(lián)網(wǎng)安全

微分段的設(shè)計是為了使網(wǎng)絡(luò)安全更精細(xì)。下一代防火墻、虛擬局域網(wǎng)（VLAN）和訪問控制列表（ACL）等其他解決方案提供了一定程度的網(wǎng)絡(luò)分段。但是，通過微分段，可能將策略應(yīng)用于單個工作負(fù)載，以便更好地防止攻擊。因此，這些工具提供比虛擬局域網(wǎng)（VLAN）等服務(wù)更細(xì)粒度的流量分段。

軟件定義網(wǎng)絡(luò)（SDN）和網(wǎng)絡(luò)虛擬化的出現(xiàn)，推動了微分段技術(shù)的發(fā)展。通過使用與網(wǎng)絡(luò)硬件分離的軟件，與軟件未與底層硬件分離相比，微分段更容易實現(xiàn)。

由于微分段提供了比諸如防火墻之類的面向周邊的產(chǎn)品更大的數(shù)據(jù)中心流量控制能力，因此它可以阻止攻擊者進(jìn)入網(wǎng)絡(luò)進(jìn)行破壞。

分段也有管理上的好處。研究機構(gòu)IDC公司的物聯(lián)網(wǎng)安全分析師Robyn Westervelt表示，“如果可以正確實施微分段，則可以在物聯(lián)網(wǎng)設(shè)備和其他敏感資源之間添加一層安全保護(hù)，而不會在防火墻上造成漏洞。但是底層的基礎(chǔ)設(shè)施必須支持這種方法，并且可能需要安裝新的現(xiàn)代交換機、網(wǎng)關(guān)等?！?/p>

出于安全或隱私原因?qū)⒕W(wǎng)絡(luò)劃分為多個部分的概念并不新鮮。一段時間以來，企業(yè)一直在隔離一些關(guān)鍵或高風(fēng)險資源。

Westervelt表示，例如，網(wǎng)絡(luò)分段在零售領(lǐng)域很普遍。許多商家將其支付環(huán)境與其他網(wǎng)絡(luò)流量隔離開來，以縮小支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS）的范圍，該標(biāo)準(zhǔn)旨在確保公司接受、處理、存儲或傳輸信用卡信息的一組安全標(biāo)準(zhǔn)維持安全的環(huán)境。

Westervelt說，“這并不是萬無一失的，因為正如我們在零售商Target公司的數(shù)據(jù)泄露事件中所看到的那樣，攻擊者可以找到從一個系統(tǒng)跳到另一個系統(tǒng)的方法。這樣做需要更多的技巧和資源;足以阻止許多出于經(jīng)濟(jì)動機的攻擊者。但這是可以完成的?！?/p>

Westervelt說，多年來，Target公司數(shù)據(jù)泄露的細(xì)節(jié)一直令人困惑。她說，“攻擊者使用被盜的憑證來訪問Target公司用來支付其HVAC供應(yīng)商的承包商計費系統(tǒng)。從那里，他們可以訪問網(wǎng)絡(luò)，并橫向移動到POS（銷售點）系統(tǒng)?！?/p>

Westervelt說，微分段還可以用于隔離虛擬環(huán)境中的關(guān)鍵應(yīng)用程序工作負(fù)載。她說，“通過這種方式，企業(yè)可以對關(guān)鍵工作負(fù)載設(shè)置更嚴(yán)格的控制，并密切監(jiān)視訪問和更改。”

該技術(shù)也被認(rèn)為是工業(yè)控制系統(tǒng)環(huán)境中的優(yōu)秀實踐。她說，“組織可以使用工業(yè)防火墻和單向網(wǎng)關(guān)隔離分配給敏感過程的關(guān)鍵可編程邏輯控制器。”

在IT環(huán)境中，可以對具有全球互聯(lián)網(wǎng)連接的新部署的操作技術(shù)（OT）進(jìn)行分段，以防止攻擊者將其用作生產(chǎn)系統(tǒng)的集結(jié)地或墊腳石。這就是微分段與物聯(lián)網(wǎng)相關(guān)的地方。

Westervelt說：“這些操作技術(shù)（OT）包括現(xiàn)代建筑管理系統(tǒng)、太陽能電池板、電梯傳感器以及包括滅火系統(tǒng)在內(nèi)的物理安全機制。目前這并不是一個重要的領(lǐng)域，但是我們看到一些大型銀行和金融服務(wù)公司減輕了數(shù)據(jù)中心設(shè)施中與操作技術(shù)（OT）相關(guān)的風(fēng)險?！?/p>

網(wǎng)絡(luò)專家說，將微分段作為廣泛的物聯(lián)網(wǎng)安全策略的一部分進(jìn)行部署可能很有意義。

獨立的信息安全顧問Kevin Beaver表示：“這種網(wǎng)絡(luò)模型可以對網(wǎng)絡(luò)系統(tǒng)進(jìn)行更精細(xì)的控制，并在利用安全漏洞的情況下實現(xiàn)更好的隔離。這些好處不僅可以幫助改善安全可見性和控制，而且還可以改善事件響應(yīng)和取證。”

研究機構(gòu)Gartner公司的分析師Jon Amato表示，“這項技術(shù)可能是從IT系統(tǒng)中分割物聯(lián)網(wǎng)網(wǎng)絡(luò)的一種非常有效的方法。微分段產(chǎn)品還具有創(chuàng)建虛擬分段的能力，這種虛擬分段可以將設(shè)備類型彼此分離，甚至跨越多個物理位置。”

Amato說，這也與美國國土安全部（DHS）等組織的物聯(lián)網(wǎng)安全指南保持一致。美國國土安全部（DHS）在其《確保物聯(lián)網(wǎng)安全的戰(zhàn)略原則》報告中提出了組織權(quán)衡連通性的好處與它帶來的風(fēng)險：

報告說：“鑒于物聯(lián)網(wǎng)設(shè)備的使用以及與物聯(lián)網(wǎng)設(shè)備相關(guān)的風(fēng)險，特別是在工業(yè)環(huán)境中，物聯(lián)網(wǎng)用戶應(yīng)慎重考慮是否需要連接。物聯(lián)網(wǎng)消費者還可以通過謹(jǐn)慎連接，并權(quán)衡可能限制物聯(lián)網(wǎng)設(shè)備發(fā)生故障或限制連接到互聯(lián)網(wǎng)的成本，來幫助控制網(wǎng)絡(luò)連接所帶來的潛在威脅?！?/p>

Amato說，微分段非常符合此建議。他說，“僅創(chuàng)建一個物聯(lián)網(wǎng)細(xì)分市場還遠(yuǎn)遠(yuǎn)不夠，還需要將這些設(shè)備彼此分割開來。而且，大多數(shù)物聯(lián)網(wǎng)設(shè)備缺少基于主機的控件，因此企業(yè)只能使用微分段等解決方案來實現(xiàn)這一目標(biāo)?！?/p>

物聯(lián)網(wǎng)安全的微細(xì)分發(fā)展緩慢

Amato說，盡管具有潛在的優(yōu)勢，但迄今為止，似乎沒有廣泛采用微分段技術(shù)來實現(xiàn)物聯(lián)網(wǎng)安全。

Amato說，“我所看到的是，只有那些已經(jīng)擁有成熟的物聯(lián)網(wǎng)安全計劃的組織才能實現(xiàn)微分段，或者將現(xiàn)有的程序擴展到物聯(lián)網(wǎng)領(lǐng)域。對于大多數(shù)組織來說，將IT和物聯(lián)網(wǎng)彼此分開只是他們現(xiàn)在可以做的最好的事情，在研究使物聯(lián)網(wǎng)全部工作所涉及的工作水平之后，實際上進(jìn)行物聯(lián)網(wǎng)微分段的企業(yè)要少得多。”

Beaver說，對于構(gòu)建物聯(lián)網(wǎng)基礎(chǔ)設(shè)施的組織來說，重要的是要考慮他們是否真的需要對物聯(lián)網(wǎng)安全進(jìn)行微分段。

Beaver說，“企業(yè)必須確定當(dāng)前的風(fēng)險級別和業(yè)務(wù)流程，每一項新技術(shù)或控制都會帶來意想不到的后果。與零信任模型相關(guān)的其他復(fù)雜性是否會以抵消可察覺的利益的方式影響企業(yè)的安全計劃？”

一個很好的做法是徹底了解物聯(lián)網(wǎng)如何影響企業(yè)中的所有網(wǎng)絡(luò)，以便確定確保數(shù)據(jù)安全傳輸?shù)暮梅椒ā?/p>

Beaver說，“企業(yè)實際上可以強制執(zhí)行（包括物聯(lián)網(wǎng)）的安全標(biāo)準(zhǔn)和策略，如果企業(yè)以基于風(fēng)險的觀點進(jìn)行處理，并希望將網(wǎng)絡(luò)復(fù)雜性降到很低，那么可能就能夠控制其物聯(lián)網(wǎng)環(huán)境?！?/p>

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。