如果将微分段作为物联网安全策略的一部分进行部署,则可以对网络进行更精细的控制,并在出现安全漏洞的情况下实现更好的隔离。
物联网(IoT)可以为企业带来了一些巨大的好处,例如对企业资产和产品的性能有了更深入的了解,改进制造过程,以及提供更好的客户服务。不幸的是,与物联网相关的棘手安全问题仍然是企业面临的一个重大问题,在某些情况下,可能会使他们无法继续推进计划。微分段是解决一部分物联网安全风险的一种解决方案,专家称这是一种网络概念,可帮助控制物联网环境。
通过微分段,企业可以在其数据中心和云计算环境中创建安全区域,使他们能够将工作负载彼此隔离并分别进行保护。在物联网环境中,微分段可以绕过以外围设备为中心的安全工具,从而使企业能够更好地控制设备之间不断增加的横向通信量。
对于企业而言,将微分段用于物联网仍处于竞争阶段初期,但行业分析人士认为,物联网部署的潜力可能促使企业采用微分段,以提供比传统防火墙所能提供的更精细、更简单的保护。
物联网带来新的安全风险
物联网安全风险可能包括涉及物联网设备本身、支持物联网的软件以及使所有连接成为可能的网络的多种威胁。
随着物联网部署的增长,安全威胁也在增加。根据研究机构波洛蒙研究所和风险管理服务机构圣达菲集团(SantaFe Group)的报告,自2017年以来,与物联网相关的数据泄露事件急剧增加。使问题进一步复杂化的是,大多数企业并不知道其环境中或第三方供应商提供的每个不安全的物联网设备或应用程序。波洛蒙研究所的研究表明,许多企业没有解决或管理物联网风险的集中责任制,并且大多数企业认为他们的数据可能在未来两年内泄露。
物联网安全风险对于医疗保健等行业而言可能特别高,这是因为物联网设备会通过网络收集和共享大量敏感信息。在研究机构Vanson Bourne公司调查的232个医疗保健组织中,82%的受访者表示,在过去一年中经历了以物联网为中心的网络攻击。当被要求确定医疗机构中最突出的漏洞存在的位置时,网络被引用的频率最高(50%),其次是移动设备和伴随的应用程序(45%)和物联网设备(42%)。
微分段如何为物联网安全提供帮助
微分段旨在使网络安全性更加精细。下一代防火墙、虚拟局域网(VLAN)和访问控制列表(ACL)等其他解决方案提供了一定程度的网络分段。但是通过微分段,可以将策略应用于单个工作负载,以提供更好的防御攻击。结果,与VLAN等产品相比,这些工具可提供更细粒度的流量分段。
软件定义网络(SDN)和网络虚拟化的出现,推动了微段技术的发展。通过使用与网络硬件分离的软件,与软件未与底层硬件分离相比,分段更容易实现。
由于与防火墙等外围产品相比,微分段技术能够更好地控制数据中心的流量,因此它可以阻止攻击者进入网络进行破坏。
微分段也有利于管理。研究机构IDC公司的物联网安全分析师Robyn Westervelt说:“如果可以正确地实现微分段,就可以在物联网设备和其他敏感资源之间增加一层安全性,而不会在防火墙上造成漏洞。但底层基础设施必须支持这种方法,可能需要安装新的、现代化的交换机、网关等。”
出于安全或隐私的原因将网络分成多个部分的概念并不新鲜。一段时间以来,企业一直在隔离一些关键或高风险资源。
Westervelt说,例如,网络分段在零售领域很普遍。许多商家将其支付环境与其他网络流量隔离开来,以减少支付卡行业数据安全标准(PCIDSS)的范围,该标准旨在确保企业接受、处理、存储或传输信用卡信息的一组安全标准维持安全的环境。
Westervelt说:“这并不是万无一失的,因为正如我们在零售商Target公司的数据泄露中所看到的那样,网络攻击者可以找到从一个系统跳到另一个系统的方法。这样做需要更多的技巧和资源;足以挫败许多出于经济动机的攻击者。但这是可以做到的。”
Westervelt表示,多年来,Target公司数据泄露的细节一直让人困惑。她说:“网络攻击者使用被窃取的凭证来访问Target公司用来支付其暖通空调供应商的承包商计费系统。网络攻击者在那里访问网络,并横向移动到POS(销售点)系统。”
Westervelt表示,微分段还可用于隔离虚拟环境中的关键应用程序工作负载。她说:“通过微分段这种方式,企业可以对关键工作负载设置更严格的控制,并密切监视访问和更改。”
微分段技术也被认为是工业控制系统环境中的最佳实践。Westervelt说:“企业可以使用工业防火墙和单向网关隔离分配给敏感过程的关键可编程逻辑控制器。”
在IT环境中,可以对具有全球互联网连接的新部署的运营技术(OT)进行分段,以防止网络攻击者将其用作生产系统的过渡平台或垫脚石。这就是微分段与物联网相关的地方。
Westervelt说:“这些运营技术(OT)技术包括现代建筑管理系统、太阳能电池板、电梯传感器以及包括灭火系统在内的物理安全机制。目前,这并不是一个重要的领域,但是我们看到一些大型银行和金融服务公司减轻了数据中心设施中与这些运营技术(OT)技术相关的风险。”
网络专家说,将微分段作为广泛的物联网安全策略的一部分进行部署可能很有意义。
独立信息安全顾问Kevin Beaver表示:“这种网络模型可以对网络系统进行更精细的控制,并在利用安全漏洞的情况下实现更好的隔离。这些好处不仅可以帮助改善安全可见性和控制力,而且还可以改善事件响应和取证。”
研究机构Gartner公司分析师Jon Amato表示,“这项技术可能是从IT系统中分割物联网网络的一种非常有效的方法。微分段产品创建‘虚拟段’的能力非常有用,即使在多个物理位置,也能将设备类型彼此分离。”
Amato说,这也与美国国土安全部(DHS)等组织的物联网安全指南非常吻合。美国国土安全部(DHS)在其《确保物联网安全的战略原则》报告中建议组织权衡连通性的好处与它带来的风险:“鉴于物联网设备的使用以及与物联网设备中断相关的风险,物联网用户(尤其是在工业环境中)应慎重考虑是否需要连续连接。物联网消费者还可以通过谨慎而有意识地进行连接,并权衡物联网设备潜在的破坏或故障风险与限制连接到互联网的成本,帮助遏制网络连接带来的潜在威胁。”
Amato表示,微分割非常符合此建议。他说:“仅创建一个物联网细分市场(还远远不够,还需要将这些设备彼此分割开来。而且,大多数物联网设备缺少基于主机的控制,因此企业只能使用微分段等外部解决方案来完成这一任务。”
物联网安全的微分段发展缓慢
Amato表示,尽管具有潜在的优势,但迄今为止,似乎还没有广泛采用微分段技术来实现物联网安全。
Amato说,“我所看到的是,只有已经拥有成熟的物联网安全计划的组织才能通过实施微分段或将其现有程序扩展到物联领域来建立这种基础。”
Amato说,“对于大多数组织来说,将IT和物联网彼此分开只是他们现在所能做到的最好事性。有时候,企业可以做的最好的事情必须足够好。而且我听到很多组织都在谈论它。但是,在研究使物联网全部工作所需的努力水平之后,实际上进行物联网微分段的企业要少得多。”
Beaver说,对于构建物联网基础设施的企业来说,重要的是要考虑他们是否真的需要对物联网安全进行微分段。
Beaver说,“企业必须确定当前的风险级别和业务流程,每一项新技术或控制都会带来意想不到的后果。与零信任模型相关的额外复杂性是否会影响企业的安全计划,从而否定任何可感知的好处?”
一个更好的做法是彻底了解物联网将如何影响企业中的所有网络,以便确定确保数据安全传输的最佳方法。
Beaver说,“制定安全标准和政策,不仅是可执行的,而且包括实际执行的物联网。如果以基于风险的角度进行处理,并希望将网络复杂性降至最低,那么也许就能够控制其物联网环境。” |
