如何應(yīng)對(duì)物聯(lián)網(wǎng)的網(wǎng)絡(luò)威脅

在新的一年到來(lái)的時(shí)候，安全行業(yè)的人士總在問(wèn)這些問(wèn)題：在未來(lái)一年面臨的安全挑戰(zhàn)是否與往年有所不同？企業(yè)是否應(yīng)該改變防御策略，尤其是在運(yùn)營(yíng)技術(shù)（OT）、物聯(lián)網(wǎng)（IoT）和關(guān)鍵基礎(chǔ)設(shè)施組件方面？

安全廠商N(yùn)ominet公司網(wǎng)絡(luò)安全副總裁Stuart Reed表示：“在網(wǎng)絡(luò)安全的總體趨勢(shì)中，我們看到的是，這里一直都是一個(gè)充滿(mǎn)活力的地方，但現(xiàn)在網(wǎng)絡(luò)攻擊沒(méi)有界限?！彼忉屨f(shuō)，那些針對(duì)運(yùn)營(yíng)技術(shù)（OT）跨越邊界的網(wǎng)絡(luò)攻擊可能會(huì)產(chǎn)生超出IT系統(tǒng)之外，甚至對(duì)人類(lèi)的生命和安全產(chǎn)生直接影響。

運(yùn)營(yíng)技術(shù)（OT）和物聯(lián)網(wǎng)（IoT）設(shè)備的安全性工作很復(fù)雜，而運(yùn)營(yíng)技術(shù)（OT）和物聯(lián)網(wǎng)（IoT）的設(shè)計(jì)安全性目前不是IT系統(tǒng)的標(biāo)準(zhǔn)。Reed說(shuō)：“許多控制系統(tǒng)和運(yùn)營(yíng)技術(shù)（OT）基礎(chǔ)設(shè)施從來(lái)沒(méi)有設(shè)計(jì)過(guò)以數(shù)字方式連接到其他任何地方?！彼忉屨f(shuō)，但是數(shù)字化的持續(xù)發(fā)展趨勢(shì)意味著很少有運(yùn)營(yíng)技術(shù)（OT）系統(tǒng)可以長(zhǎng)期隔離網(wǎng)絡(luò)攻擊。

隨著網(wǎng)絡(luò)犯罪分子和激進(jìn)國(guó)家的網(wǎng)絡(luò)威脅不斷發(fā)展，安全團(tuán)隊(duì)?wèi)?yīng)采取哪些步驟來(lái)保護(hù)其組織擁有的運(yùn)營(yíng)技術(shù)（OT）和物聯(lián)網(wǎng)（IoT）系統(tǒng)？網(wǎng)絡(luò)安全專(zhuān)家對(duì)如何應(yīng)對(duì)2020年物聯(lián)網(wǎng)威脅提出了一些建議。他們希望在未來(lái)一年無(wú)論威脅環(huán)境如何變化，都確保其運(yùn)營(yíng)技術(shù)（OT）系統(tǒng)盡可能安全。以下是網(wǎng)絡(luò)安全專(zhuān)家提出的七個(gè)安全注意事項(xiàng)：

1.注意邊緣

nVisium公司首席執(zhí)行官Jack Mannino說(shuō)：“隨著邊緣計(jì)算和分布式傳感器網(wǎng)絡(luò)的增長(zhǎng)，云計(jì)算基礎(chǔ)設(shè)施和邊緣設(shè)備成為網(wǎng)絡(luò)攻擊者越來(lái)越關(guān)注的目標(biāo)。使邊緣設(shè)備不受攻擊者控制的關(guān)鍵是采用混合方法來(lái)解決問(wèn)題?！?/p>

Mannino說(shuō)，“邊緣計(jì)算需要采用混合云方法，其中邊緣設(shè)備和云計(jì)算服務(wù)必須在每一層建立信任。用戶(hù)決定如何建立信任并成為業(yè)務(wù)流程的一部分，首先要詳細(xì)分析邊緣設(shè)備如何生成數(shù)據(jù)、生成什么類(lèi)型的數(shù)據(jù)，以及將數(shù)據(jù)傳輸?shù)綉?yīng)用程序基礎(chǔ)架構(gòu)的其余部分的過(guò)程?！?/p>

就像傳統(tǒng)的IT攻擊者通常選擇用戶(hù)作為進(jìn)入網(wǎng)絡(luò)的方式一樣，那些想要破壞企業(yè)物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)攻擊者可能會(huì)看到邊緣設(shè)備托管最簡(jiǎn)單的進(jìn)入端口，這使用戶(hù)將注意力集中在網(wǎng)絡(luò)中心上，忽視了邊緣上比較脆弱的設(shè)備。

2.安全培訓(xùn)

Reed說(shuō)，盡管惡意軟件和基于物聯(lián)網(wǎng)的攻擊變得越來(lái)越復(fù)雜，但成功進(jìn)行攻擊并不需要高度復(fù)雜的技術(shù)。他解釋說(shuō)：“如果人們不了解自己在良好的網(wǎng)絡(luò)衛(wèi)生中所扮演的角色和責(zé)任，那么可能會(huì)發(fā)生一些非?；镜墓簟！?/p>

這些角色和職責(zé)包括一些顯而易見(jiàn)的要點(diǎn)，比如不要點(diǎn)擊來(lái)自未知或意外來(lái)源的附件，但它們遠(yuǎn)遠(yuǎn)超出了這些基本要求。畢竟，保護(hù)重要的數(shù)據(jù)和基礎(chǔ)設(shè)施，Information Security Forum常務(wù)董事Steve Durbin表示：“首先要求最終用戶(hù)接受數(shù)據(jù)需要保護(hù)的理念。由于有著不同的社會(huì)規(guī)范，涉及數(shù)據(jù)的公認(rèn)價(jià)值，因此需要保護(hù)數(shù)據(jù)，以及誰(shuí)應(yīng)該首先負(fù)責(zé)保護(hù)數(shù)據(jù)?！?/p>

Reed說(shuō)，最大限度地降低員工行為風(fēng)險(xiǎn)的關(guān)鍵是安全教育和培訓(xùn)。他解釋說(shuō)：“除了培訓(xùn)課程，我認(rèn)為安全教育可以采取多種不同的形式。例如在線媒體在更廣闊網(wǎng)絡(luò)安全教育方面扮演著非常關(guān)鍵的角色?！?/p>

3.物聯(lián)網(wǎng)的可見(jiàn)性

與安全專(zhuān)家進(jìn)行對(duì)話時(shí)，一個(gè)共同的主題是需要更好地了解用戶(hù)的網(wǎng)絡(luò)和基礎(chǔ)設(shè)施。這種需求不會(huì)隨著傳統(tǒng)IT和物聯(lián)網(wǎng)設(shè)備之間的劃分而停止。

ThycoTIc公司首席安全科學(xué)家Carson說(shuō)：“如果沒(méi)有物聯(lián)網(wǎng)設(shè)備及其帶來(lái)的風(fēng)險(xiǎn)，就無(wú)法確定物聯(lián)網(wǎng)數(shù)據(jù)的潛在安全和隱私風(fēng)險(xiǎn)。要了解物聯(lián)網(wǎng)設(shè)備的風(fēng)險(xiǎn)，用戶(hù)首先想知道其功能或用途，例如是數(shù)據(jù)收集器、數(shù)據(jù)處理器還是數(shù)據(jù)相關(guān)器。在確定作為基礎(chǔ)設(shè)施的一部分的設(shè)備之后，了解功能是第二步?！?/p>

安全專(zhuān)業(yè)人員在提高其整體基礎(chǔ)設(shè)施的物聯(lián)網(wǎng)的可見(jiàn)性方面應(yīng)該做些什么？nVisium公司Mannino說(shuō)，“這項(xiàng)工作應(yīng)該從對(duì)物聯(lián)網(wǎng)設(shè)備等資產(chǎn)的架構(gòu)藍(lán)圖進(jìn)行一致的安全分析，以找出缺失和設(shè)計(jì)錯(cuò)誤的架構(gòu)控制，并在允許的情況下采用一致的安全代碼分析?！?/p>

4.消費(fèi)者設(shè)備問(wèn)題

如果用戶(hù)有一個(gè)網(wǎng)絡(luò)，則很有可能將消費(fèi)類(lèi)設(shè)備連接到基礎(chǔ)設(shè)施。企業(yè)員工已將消費(fèi)類(lèi)設(shè)備作為日常生活的一部分，大多數(shù)員工都不愿意放棄這些設(shè)備的優(yōu)勢(shì)。Durbin說(shuō)，“當(dāng)這些消費(fèi)者工作時(shí)，他們也希望將這些功能強(qiáng)大的設(shè)備用于業(yè)務(wù)應(yīng)用，而在過(guò)去的幾年中，這導(dǎo)致組織與個(gè)人之間，個(gè)人信息與公開(kāi)可用的詳細(xì)信息之間的界限越來(lái)越模糊?！?/p>

在許多情況下，問(wèn)題并非始于員工使用自己的設(shè)備，而是始于許多消費(fèi)類(lèi)設(shè)備在設(shè)計(jì)之初就并未被設(shè)計(jì)為安全的業(yè)務(wù)設(shè)備。此外，Dubirn說(shuō)，“這些設(shè)備的使用方式模糊了個(gè)人和企業(yè)使用與行為之間的界限。其潛在的風(fēng)險(xiǎn)包括濫用設(shè)備本身、外部利用軟件漏洞，以及部署未經(jīng)測(cè)試的、不可靠的業(yè)務(wù)應(yīng)用程序。”

在處理整個(gè)物聯(lián)網(wǎng)環(huán)境中可能涉及的云計(jì)算服務(wù)和物聯(lián)網(wǎng)設(shè)備時(shí)，安全專(zhuān)業(yè)人員需要積極與他們的供應(yīng)商和合作伙伴互動(dòng)，以確?；窘M件能夠安全使用。例如，Acceptto公司首席安全架構(gòu)師Fausto Oliveira表示，物聯(lián)網(wǎng)設(shè)備必須具有更改默認(rèn)用戶(hù)名和密碼的能力，以及與網(wǎng)絡(luò)中上游和下游系統(tǒng)進(jìn)行加密通信的能力。Oliveira說(shuō)：“企業(yè)需要供應(yīng)商提供強(qiáng)有力的指導(dǎo)，并確保在選擇過(guò)程中，安全是一項(xiàng)明確定義的功能。”他表示，這符合供應(yīng)商及其用戶(hù)的最大利益，以確保整個(gè)系統(tǒng)盡可能安全。

5.物聯(lián)網(wǎng)連接安全性

當(dāng)然會(huì)有一些小型組織（以及高度安全的政府或軍事機(jī)構(gòu)）的物聯(lián)網(wǎng)設(shè)備不包含互聯(lián)網(wǎng)連接。但是對(duì)于大多數(shù)組織而言，移動(dòng)、分析和使用其邊緣設(shè)備中的數(shù)據(jù)意味著將設(shè)備連接到全球互聯(lián)網(wǎng)和一個(gè)或多個(gè)云計(jì)算服務(wù)。nVisium公司的Mannino指出，“隨著邊緣計(jì)算和分布式傳感器網(wǎng)絡(luò)的增加，云計(jì)算基礎(chǔ)設(shè)施和邊緣設(shè)備已成為一種趨勢(shì)。而這對(duì)于網(wǎng)絡(luò)攻擊者來(lái)說(shuō)越來(lái)越有吸引力?！?/p>

Vectra公司安全分析主管Chris Morales簡(jiǎn)潔地解釋了這一點(diǎn)。他說(shuō)，“與傳統(tǒng)的桌面系統(tǒng)不同，物聯(lián)網(wǎng)設(shè)備需要確保存儲(chǔ)和鎖定的數(shù)據(jù)不會(huì)被窺視，物聯(lián)網(wǎng)設(shè)備被設(shè)計(jì)為彼此共享信息，并共享到遠(yuǎn)程存儲(chǔ)位置進(jìn)行分析，并為企業(yè)提供對(duì)其數(shù)據(jù)的遠(yuǎn)程訪問(wèn)。這通常需要物聯(lián)網(wǎng)設(shè)備制造商托管的云存儲(chǔ)?！?/p>

在處理可能涉及整個(gè)物聯(lián)網(wǎng)環(huán)境的云計(jì)算服務(wù)和物聯(lián)網(wǎng)設(shè)備時(shí)，安全專(zhuān)業(yè)人員需要積極與其供應(yīng)商和合作伙伴接洽，以確?；窘M件能夠安全使用。例如，Acceptto公司首席安全架構(gòu)師Fausto Oliveira表示，設(shè)備必須能夠更改默認(rèn)用戶(hù)名和密碼，以及與網(wǎng)絡(luò)上下游系統(tǒng)進(jìn)行加密通信的能力。他說(shuō)，“組織需要向供應(yīng)商提供強(qiáng)有力的指導(dǎo)，并確保在選擇過(guò)程中，安全性是一個(gè)明確定義的特性，是不可選擇的，確保整個(gè)系統(tǒng)盡可能安全符合供應(yīng)商和客戶(hù)的最大利益?！?/p>

6.專(zhuān)注于物聯(lián)網(wǎng)設(shè)備敏捷性

物聯(lián)網(wǎng)的兩個(gè)特點(diǎn)使擴(kuò)展運(yùn)營(yíng)技術(shù)（OT）變得如此脆弱，這就是大量物聯(lián)網(wǎng)設(shè)備的不可改變的特性。易受攻擊、靜態(tài)和持久性并不是大多數(shù)專(zhuān)業(yè)人員在安全基礎(chǔ)設(shè)施中需要的特性。

Acceptto公司的Oliveira說(shuō)：“需要取消默認(rèn)用戶(hù)名和密碼以及不安全的協(xié)議（如telnet），并采用更好的方法來(lái)實(shí)現(xiàn)可管理性，而無(wú)需使用易于妥協(xié)的默認(rèn)帳戶(hù)和不安全的協(xié)議?！彼麍?jiān)持認(rèn)為，僅向供應(yīng)商強(qiáng)調(diào)他們的設(shè)備必須允許更改默認(rèn)憑據(jù)和協(xié)議是不夠的。用戶(hù)必須將這些作為購(gòu)買(mǎi)設(shè)備的要求。

Oliveira說(shuō)：“物聯(lián)網(wǎng)設(shè)備需要被視為任何安全資產(chǎn)，因此需要定期管理和審核漏洞。”Nominet的Reed也對(duì)此表示認(rèn)同，他說(shuō)，“全面的從業(yè)人員必須確保他們具有正確的審核、控制、政策，以便能夠放心地了解與他們合作的第三方，并且采取更好的安全措施?！?/p>

他們都承認(rèn)，如果無(wú)法重新配置基礎(chǔ)設(shè)施中的設(shè)備來(lái)解決漏洞，那么可靠的審核和監(jiān)視的影響將會(huì)非常有限。

7. 無(wú)情數(shù)據(jù)

物聯(lián)網(wǎng)的數(shù)據(jù)生成能力需要符合歐盟的《通用數(shù)據(jù)保護(hù)條例》和最新的《加州消費(fèi)者隱私法》等法規(guī)的要求。因此，Vectra公司的Morales說(shuō)，“企業(yè)需要更加注意設(shè)備收集的數(shù)據(jù)類(lèi)型以及如何使用這些數(shù)據(jù)?！彼赋觯跀z像頭、GPS跟蹤系統(tǒng)和傳感器跟蹤業(yè)務(wù)的每個(gè)階段生成數(shù)據(jù)的時(shí)代，保護(hù)個(gè)人隱私對(duì)于保護(hù)用戶(hù)信息自由至關(guān)重要。

Morales說(shuō)：“物聯(lián)網(wǎng)設(shè)備旨在相互共享信息，并共享給遠(yuǎn)程存儲(chǔ)位置以進(jìn)行分析，并為企業(yè)提供對(duì)其數(shù)據(jù)的遠(yuǎn)程訪問(wèn)。而且，數(shù)據(jù)必須在設(shè)備中以及從業(yè)務(wù)流程的一個(gè)階段轉(zhuǎn)移到另一個(gè)階段時(shí)都受到保護(hù)?！?/p>

Acceptto公司的Oliveira說(shuō)，“與設(shè)備之間的所有通信都必須加密，并且在理想情況下，數(shù)據(jù)流量必須受基于場(chǎng)景和基于角色的訪問(wèn)控制，除非在特殊的情況下，否則沒(méi)有理由讓設(shè)備可以通過(guò)全球互聯(lián)網(wǎng)進(jìn)行連接?！?/p>

要了解如何將“無(wú)情數(shù)據(jù)”應(yīng)用到物聯(lián)網(wǎng)的各個(gè)部分，首先要了解基礎(chǔ)設(shè)施及其啟用的業(yè)務(wù)流程。ThycoTIc公司的Carson說(shuō)：“如果沒(méi)有物聯(lián)網(wǎng)設(shè)備帶來(lái)的風(fēng)險(xiǎn)，就無(wú)法確定其數(shù)據(jù)的潛在安全性和隱私風(fēng)險(xiǎn)。在了解物聯(lián)網(wǎng)設(shè)備的作用以及與之相關(guān)的數(shù)據(jù)后，就可以評(píng)估采用物聯(lián)網(wǎng)設(shè)備帶來(lái)的風(fēng)險(xiǎn)?！?/p>