信息化觀察網(wǎng)

企業(yè)的安全團(tuán)隊(duì)?wèi)?yīng)該采取一些措施和步驟，為2020年物聯(lián)網(wǎng)面臨不斷發(fā)展的安全威脅做好準(zhǔn)備。

在新的一年到來(lái)的時(shí)候，安全行業(yè)的人士總在問這些問題：在未來(lái)一年面臨的安全挑戰(zhàn)是否與往年有所不同?企業(yè)是否應(yīng)該改變防御策略，尤其是在運(yùn)營(yíng)技術(shù)(OT)、物聯(lián)網(wǎng)(IoT)和關(guān)鍵基礎(chǔ)設(shè)施組件方面?

安全廠商N(yùn)ominet公司網(wǎng)絡(luò)安全副總裁Stuart Reed表示：“在網(wǎng)絡(luò)安全的總體趨勢(shì)中，我們看到的是，這里一直都是一個(gè)充滿活力的地方，但現(xiàn)在網(wǎng)絡(luò)攻擊沒有界限。”他解釋說，那些針對(duì)運(yùn)營(yíng)技術(shù)(OT)跨越邊界的網(wǎng)絡(luò)攻擊可能會(huì)產(chǎn)生超出IT系統(tǒng)之外，甚至對(duì)人類的生命和安全產(chǎn)生直接影響。

運(yùn)營(yíng)技術(shù)(OT)和物聯(lián)網(wǎng)(IoT)設(shè)備的安全性工作很復(fù)雜，而運(yùn)營(yíng)技術(shù)(OT)和物聯(lián)網(wǎng)(IoT)的設(shè)計(jì)安全性目前不是IT系統(tǒng)的標(biāo)準(zhǔn)。Reed說：“許多控制系統(tǒng)和運(yùn)營(yíng)技術(shù)(OT)基礎(chǔ)設(shè)施從來(lái)沒有設(shè)計(jì)過以數(shù)字方式連接到其他任何地方。”他解釋說，但是數(shù)字化的持續(xù)發(fā)展趨勢(shì)意味著很少有運(yùn)營(yíng)技術(shù)(OT)系統(tǒng)可以長(zhǎng)期隔離網(wǎng)絡(luò)攻擊。

隨著網(wǎng)絡(luò)犯罪分子和激進(jìn)國(guó)家的網(wǎng)絡(luò)威脅不斷發(fā)展，安全團(tuán)隊(duì)?wèi)?yīng)采取哪些步驟來(lái)保護(hù)其組織擁有的運(yùn)營(yíng)技術(shù)(OT)和物聯(lián)網(wǎng)(IoT)系統(tǒng)?網(wǎng)絡(luò)安全專家對(duì)如何應(yīng)對(duì)2020年物聯(lián)網(wǎng)威脅提出了一些建議。他們希望在未來(lái)一年無(wú)論威脅環(huán)境如何變化，都確保其運(yùn)營(yíng)技術(shù)(OT)系統(tǒng)盡可能安全。以下是網(wǎng)絡(luò)安全專家提出的七個(gè)安全注意事項(xiàng)：

1.注意邊緣

nVisium公司首席執(zhí)行官Jack Mannino說：“隨著邊緣計(jì)算和分布式傳感器網(wǎng)絡(luò)的增長(zhǎng)，云計(jì)算基礎(chǔ)設(shè)施和邊緣設(shè)備成為網(wǎng)絡(luò)攻擊者越來(lái)越關(guān)注的目標(biāo)。使邊緣設(shè)備不受攻擊者控制的關(guān)鍵是采用混合方法來(lái)解決問題。”

Mannino說，“邊緣計(jì)算需要采用混合云方法，其中邊緣設(shè)備和云計(jì)算服務(wù)必須在每一層建立信任。用戶決定如何建立信任并成為業(yè)務(wù)流程的一部分，首先要詳細(xì)分析邊緣設(shè)備如何生成數(shù)據(jù)、生成什么類型的數(shù)據(jù)，以及將數(shù)據(jù)傳輸?shù)綉?yīng)用程序基礎(chǔ)架構(gòu)的其余部分的過程。”

就像傳統(tǒng)的IT攻擊者通常選擇用戶作為進(jìn)入網(wǎng)絡(luò)的方式一樣，那些想要破壞企業(yè)物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)攻擊者可能會(huì)看到邊緣設(shè)備托管最簡(jiǎn)單的進(jìn)入端口，這使用戶將注意力集中在網(wǎng)絡(luò)中心上，忽視了邊緣上比較脆弱的設(shè)備。

2.安全培訓(xùn)

Reed說，盡管惡意軟件和基于物聯(lián)網(wǎng)的攻擊變得越來(lái)越復(fù)雜，但成功進(jìn)行攻擊并不需要高度復(fù)雜的技術(shù)。他解釋說：“如果人們不了解自己在良好的網(wǎng)絡(luò)衛(wèi)生中所扮演的角色和責(zé)任，那么可能會(huì)發(fā)生一些非常基本的攻擊。”

這些角色和職責(zé)包括一些顯而易見的要點(diǎn)，比如不要點(diǎn)擊來(lái)自未知或意外來(lái)源的附件，但它們遠(yuǎn)遠(yuǎn)超出了這些基本要求。畢竟，保護(hù)重要的數(shù)據(jù)和基礎(chǔ)設(shè)施，Information Security Forum常務(wù)董事Steve Durbin表示：“首先要求最終用戶接受數(shù)據(jù)需要保護(hù)的理念。由于有著不同的社會(huì)規(guī)范，涉及數(shù)據(jù)的公認(rèn)價(jià)值，因此需要保護(hù)數(shù)據(jù)，以及誰(shuí)應(yīng)該首先負(fù)責(zé)保護(hù)數(shù)據(jù)。”

Reed說，最大限度地降低員工行為風(fēng)險(xiǎn)的關(guān)鍵是安全教育和培訓(xùn)。他解釋說：“除了培訓(xùn)課程，我認(rèn)為安全教育可以采取多種不同的形式。例如在線媒體在更廣闊網(wǎng)絡(luò)安全教育方面扮演著非常關(guān)鍵的角色。”

3.物聯(lián)網(wǎng)的可見性

與安全專家進(jìn)行對(duì)話時(shí)，一個(gè)共同的主題是需要更好地了解用戶的網(wǎng)絡(luò)和基礎(chǔ)設(shè)施。這種需求不會(huì)隨著傳統(tǒng)IT和物聯(lián)網(wǎng)設(shè)備之間的劃分而停止。

Thycotic公司首席安全科學(xué)家Carson說：“如果沒有物聯(lián)網(wǎng)設(shè)備及其帶來(lái)的風(fēng)險(xiǎn)，就無(wú)法確定物聯(lián)網(wǎng)數(shù)據(jù)的潛在安全和隱私風(fēng)險(xiǎn)。要了解物聯(lián)網(wǎng)設(shè)備的風(fēng)險(xiǎn)，用戶首先想知道其功能或用途，例如是數(shù)據(jù)收集器、數(shù)據(jù)處理器還是數(shù)據(jù)相關(guān)器。在確定作為基礎(chǔ)設(shè)施的一部分的設(shè)備之后，了解功能是第二步。”

安全專業(yè)人員在提高其整體基礎(chǔ)設(shè)施的物聯(lián)網(wǎng)的可見性方面應(yīng)該做些什么?nVisium公司Mannino說，“這項(xiàng)工作應(yīng)該從對(duì)物聯(lián)網(wǎng)設(shè)備等資產(chǎn)的架構(gòu)藍(lán)圖進(jìn)行一致的安全分析，以找出缺失和設(shè)計(jì)錯(cuò)誤的架構(gòu)控制，并在允許的情況下采用一致的安全代碼分析。”

4.消費(fèi)者設(shè)備問題

如果用戶有一個(gè)網(wǎng)絡(luò)，則很有可能將消費(fèi)類設(shè)備連接到基礎(chǔ)設(shè)施。企業(yè)員工已將消費(fèi)類設(shè)備作為日常生活的一部分，大多數(shù)員工都不愿意放棄這些設(shè)備的優(yōu)勢(shì)。Durbin說，“當(dāng)這些消費(fèi)者工作時(shí)，他們也希望將這些功能強(qiáng)大的設(shè)備用于業(yè)務(wù)應(yīng)用，而在過去的幾年中，這導(dǎo)致組織與個(gè)人之間，個(gè)人信息與公開可用的詳細(xì)信息之間的界限越來(lái)越模糊。”

在許多情況下，問題并非始于員工使用自己的設(shè)備，而是始于許多消費(fèi)類設(shè)備在設(shè)計(jì)之初就并未被設(shè)計(jì)為安全的業(yè)務(wù)設(shè)備。此外，Dubirn說，“這些設(shè)備的使用方式模糊了個(gè)人和企業(yè)使用與行為之間的界限。其潛在的風(fēng)險(xiǎn)包括濫用設(shè)備本身、外部利用軟件漏洞，以及部署未經(jīng)測(cè)試的、不可靠的業(yè)務(wù)應(yīng)用程序。”

在處理整個(gè)物聯(lián)網(wǎng)環(huán)境中可能涉及的云計(jì)算服務(wù)和物聯(lián)網(wǎng)設(shè)備時(shí)，安全專業(yè)人員需要積極與他們的供應(yīng)商和合作伙伴互動(dòng)，以確?；窘M件能夠安全使用。例如，Acceptto公司首席安全架構(gòu)師Fausto Oliveira表示，物聯(lián)網(wǎng)設(shè)備必須具有更改默認(rèn)用戶名和密碼的能力，以及與網(wǎng)絡(luò)中上游和下游系統(tǒng)進(jìn)行加密通信的能力。Oliveira說：“企業(yè)需要供應(yīng)商提供強(qiáng)有力的指導(dǎo)，并確保在選擇過程中，安全是一項(xiàng)明確定義的功能。”他表示，這符合供應(yīng)商及其用戶的最大利益，以確保整個(gè)系統(tǒng)盡可能安全。

5.物聯(lián)網(wǎng)連接安全性

當(dāng)然會(huì)有一些小型組織(以及高度安全的政府或軍事機(jī)構(gòu))的物聯(lián)網(wǎng)設(shè)備不包含互聯(lián)網(wǎng)連接。但是對(duì)于大多數(shù)組織而言，移動(dòng)、分析和使用其邊緣設(shè)備中的數(shù)據(jù)意味著將設(shè)備連接到全球互聯(lián)網(wǎng)和一個(gè)或多個(gè)云計(jì)算服務(wù)。nVisium公司的Mannino指出，“隨著邊緣計(jì)算和分布式傳感器網(wǎng)絡(luò)的增加，云計(jì)算基礎(chǔ)設(shè)施和邊緣設(shè)備已成為一種趨勢(shì)。而這對(duì)于網(wǎng)絡(luò)攻擊者來(lái)說越來(lái)越有吸引力。”

Vectra公司安全分析主管Chris Morales簡(jiǎn)潔地解釋了這一點(diǎn)。他說，“與傳統(tǒng)的桌面系統(tǒng)不同，物聯(lián)網(wǎng)設(shè)備需要確保存儲(chǔ)和鎖定的數(shù)據(jù)不會(huì)被窺視，物聯(lián)網(wǎng)設(shè)備被設(shè)計(jì)為彼此共享信息，并共享到遠(yuǎn)程存儲(chǔ)位置進(jìn)行分析，并為企業(yè)提供對(duì)其數(shù)據(jù)的遠(yuǎn)程訪問。這通常需要物聯(lián)網(wǎng)設(shè)備制造商托管的云存儲(chǔ)。”

在處理可能涉及整個(gè)物聯(lián)網(wǎng)環(huán)境的云計(jì)算服務(wù)和物聯(lián)網(wǎng)設(shè)備時(shí)，安全專業(yè)人員需要積極與其供應(yīng)商和合作伙伴接洽，以確?；窘M件能夠安全使用。例如，Acceptto公司首席安全架構(gòu)師Fausto Oliveira表示，設(shè)備必須能夠更改默認(rèn)用戶名和密碼，以及與網(wǎng)絡(luò)上下游系統(tǒng)進(jìn)行加密通信的能力。他說，“組織需要向供應(yīng)商提供強(qiáng)有力的指導(dǎo)，并確保在選擇過程中，安全性是一個(gè)明確定義的特性，是不可選擇的，確保整個(gè)系統(tǒng)盡可能安全符合供應(yīng)商和客戶的最大利益。”

6.專注于物聯(lián)網(wǎng)設(shè)備敏捷性

物聯(lián)網(wǎng)的兩個(gè)特點(diǎn)使擴(kuò)展運(yùn)營(yíng)技術(shù)(OT)變得如此脆弱，這就是大量物聯(lián)網(wǎng)設(shè)備的不可改變的特性。易受攻擊、靜態(tài)和持久性并不是大多數(shù)專業(yè)人員在安全基礎(chǔ)設(shè)施中需要的特性。

Acceptto公司的Oliveira說：“需要取消默認(rèn)用戶名和密碼以及不安全的協(xié)議(如telnet)，并采用更好的方法來(lái)實(shí)現(xiàn)可管理性，而無(wú)需使用易于妥協(xié)的默認(rèn)帳戶和不安全的協(xié)議。”他堅(jiān)持認(rèn)為，僅向供應(yīng)商強(qiáng)調(diào)他們的設(shè)備必須允許更改默認(rèn)憑據(jù)和協(xié)議是不夠的。用戶必須將這些作為購(gòu)買設(shè)備的要求。

Oliveira說：“物聯(lián)網(wǎng)設(shè)備需要被視為任何安全資產(chǎn)，因此需要定期管理和審核漏洞。”Nominet的Reed也對(duì)此表示認(rèn)同，他說，“全面的從業(yè)人員必須確保他們具有正確的審核、控制、政策，以便能夠放心地了解與他們合作的第三方，并且采取更好的安全措施。”

他們都承認(rèn)，如果無(wú)法重新配置基礎(chǔ)設(shè)施中的設(shè)備來(lái)解決漏洞，那么可靠的審核和監(jiān)視的影響將會(huì)非常有限。

7. 無(wú)情數(shù)據(jù)

物聯(lián)網(wǎng)的數(shù)據(jù)生成能力需要符合歐盟的《通用數(shù)據(jù)保護(hù)條例》和最新的《加州消費(fèi)者隱私法》等法規(guī)的要求。因此，Vectra公司的Morales說，“企業(yè)需要更加注意設(shè)備收集的數(shù)據(jù)類型以及如何使用這些數(shù)據(jù)。”他指出，在攝像頭、GPS跟蹤系統(tǒng)和傳感器跟蹤業(yè)務(wù)的每個(gè)階段生成數(shù)據(jù)的時(shí)代，保護(hù)個(gè)人隱私對(duì)于保護(hù)用戶信息自由至關(guān)重要。

Morales說：“物聯(lián)網(wǎng)設(shè)備旨在相互共享信息，并共享給遠(yuǎn)程存儲(chǔ)位置以進(jìn)行分析，并為企業(yè)提供對(duì)其數(shù)據(jù)的遠(yuǎn)程訪問。而且，數(shù)據(jù)必須在設(shè)備中以及從業(yè)務(wù)流程的一個(gè)階段轉(zhuǎn)移到另一個(gè)階段時(shí)都受到保護(hù)。”

Acceptto公司的Oliveira說，“與設(shè)備之間的所有通信都必須加密，并且在理想情況下，數(shù)據(jù)流量必須受基于場(chǎng)景和基于角色的訪問控制，除非在特殊的情況下，否則沒有理由讓設(shè)備可以通過全球互聯(lián)網(wǎng)進(jìn)行連接。”

要了解如何將“無(wú)情數(shù)據(jù)”應(yīng)用到物聯(lián)網(wǎng)的各個(gè)部分，首先要了解基礎(chǔ)設(shè)施及其啟用的業(yè)務(wù)流程。Thycotic公司的Carson說：“如果沒有物聯(lián)網(wǎng)設(shè)備帶來(lái)的風(fēng)險(xiǎn)，就無(wú)法確定其數(shù)據(jù)的潛在安全性和隱私風(fēng)險(xiǎn)。在了解物聯(lián)網(wǎng)設(shè)備的作用以及與之相關(guān)的數(shù)據(jù)后，就可以評(píng)估采用物聯(lián)網(wǎng)設(shè)備帶來(lái)的風(fēng)險(xiǎn)。”