微分割(microsegmentation )能帮助物联网安全吗?

将微分割作为广泛的物联网安全策略的一部分部署,可以实现对网络系统更细粒度的控制,并在发现安全缺陷时实现更好的隔离。

物联网(IoT)为企业带来了一些巨大的好处,比如更深入地了解企业资产和成品的性能,改进生产流程,以及更好的客户服务。不幸的是,与物联网相关的恼人的安全问题仍然是企业的一大担忧,在某些情况下,可能会阻碍企业推进相关举措。一个可能解决物联网安全风险的方法是微分割,专家称这一网络概念有助于控制物联网环境。

使用微分割,公司可以在其数据中心和云环境中创建安全区域,使它们能够将工作负载彼此隔离,并对它们进行单独保护。在物联网环境中,微分割可以让公司更好地控制设备间不断增长的横向通信量,绕过以外围设备为中心的安全工具。

对于公司来说,在物联网中使用微分割可能还处于早期阶段,但行业观察家认为,物联网部署的潜力可能促使企业采用微分割来提供比传统防火墙所能提供的更精细、更简单的保护。

物联网带来新的安全风险

物联网安全风险可能包括任何数量的威胁,涉及连接的设备本身、支持物联网的软件以及使所有连接成为可能的网络。

随着物联网部署的增长,对安全的威胁也越来越大。研究公司Ponemon Institute和风险管理服务公司圣达菲集团(Santa Fe Group)的报告显示,自2017年以来,物联网相关数据泄露事件“急剧”增加。使问题进一步复杂化的是,大多数组织并没有意识到环境中或第三方供应商提供的每个不安全的物联网设备或应用程序。Ponemon的研究表明,许多组织没有集中的责任来解决或管理物联网风险,大多数组织认为他们的数据将在未来24个月内被泄露。

物联网安全风险对于医疗保健等行业尤其高,因为设备通过网络收集和共享大量敏感信息。在调查公司Vanson Bourne调查的232家医疗机构中,82%的机构在过去一年中经历过一次以物联网为中心的网络攻击。当被要求识别医疗机构中最突出的漏洞所在时,网络被引用的频率最高(50%),其次是移动设备和相关应用程序(45%),以及物联网设备(42%)。

微分割如何帮助物联网安全

微分割(Microsegmentation)的目的是使网络安全更细粒度化。其他解决方案,如下一代防火墙、虚拟局域网(VLAN)和访问控制列表(ACL),提供了某种程度的网络分割。但是通过使用微分割,策略被应用到各个工作负载,以提供更好的防御攻击的保护。因此,这些工具比vlan等工具提供更细粒度的流量分割。

推动微分割发展的是软件定义网络(SDN)和网络虚拟化的出现。通过使用与网络硬件脱钩的软件,分割要比软件与底层硬件脱钩更容易实现。

由于微分割比防火墙等以外围为中心的产品对数据中心的流量提供了更大的控制,因此它可以阻止攻击者进入网络进行破坏。

分割(segmentation)还有一个管理上的好处。研究公司IDC的物联网安全分析师Robyn Westervelt说:“如果你能正确地实施微分割,则可以在IoT设备和其他敏感资源之间添加一层安全保护,而不会在防火墙上造成漏洞。”但底层基础设施必须支持这种方法,可能需要安装新的现代交换机、网关等。

出于安全或隐私原因,将网络分割成多个部分的概念并不新鲜。一段时间以来,公司一直在隔离一些关键或高风险的资源。

Westervelt说,例如,网络分段在零售领域很普遍。许多商家将其支付环境与其他网络流量隔离开来,以减少支付卡行业数据安全标准(PCI DSS)的范围,该标准是一套旨在确保接受、处理、存储或传输信用卡信息的公司维持一个安全环境的安全标准。

Westervelt说:“这并不是万无一失的,因为正如我们在零售商Target的数据泄露中所看到的那样,攻击者可以找到从一个系统跳到另一个系统的方法。” “这样做需要更多的技巧和资源; 足以阻止许多出于经济动机的攻击者。 但这是可以完成的。”

Westervelt说,多年来,Target被攻破的细节已经变得模糊不清。她表示:“攻击者利用窃取的凭证进入Target用于支付HVAC供应商费用的承包商计费系统。”“从那里,他们获得了访问网络的权限,并横向转移到POS系统。”

Westervelt说,分段(Segmentation)还可用于隔离虚拟环境中的关键应用程序工作负载。她说:“这就是我在’微分割(microsegmentation)’中的想法。” “通过这种方式,您可以对关键工作负载设置更严格的控制,并密切监视访问和更改。”

该技术也被认为是工业控制系统环境中的最佳实践。“一个组织可以使用工业防火墙和单向网关隔离分配给敏感过程的关键可编程逻辑控制器,”Westervelt说。

在IT环境中,可以对新部署的具有Internet连接的操作技术(OT)进行分段,以防止攻击者将其用作进入生产系统的集结地或垫脚石。这就是微分割与物联网相关的地方。

Westervelt说:“这些OT技术包括现代建筑管理系统,太阳能电池板,电梯传感器以及包括灭火系统在内的物理安全机制,” “目前,这并不是一个重要的领域,但是我们看到一些大型银行和金融服务公司减轻了数据中心设施中与这些OT技术相关的风险。”

网络专家表示,将微分割作为广义物联网安全战略的一部分可能是有意义的。

独立信息安全顾问Kevin Beaver说:“这种网络模型允许对网络系统进行更精细的控制,并在安全漏洞被利用时进行更好的隔离。”。“这些好处不仅有助于提高安全可见性和控制能力,还可以提高事件响应和取证能力。”

研究公司Gartner的分析师乔恩·阿马托(Jon Amato)表示,这项技术“可能是从IT系统中分割物联网网络的一种非常有效的方法”。 “微细分产品创建“虚拟段”的能力非常有用,这种虚拟段可以将设备类型彼此分离,甚至可以跨越多个物理位置。”

Amato说,这也与美国国土安全部(DHS)等组织的IoT安全指南非常吻合。DHS在其《确保物联网安全的战略原则》报告中建议组织权衡连通性的好处与它带来的风险:

报告称:“考虑到物联网设备的使用及其中断带来的风险,物联网消费者,特别是在工业环境下,应该慎重考虑是否需要持续连接。”“通过小心谨慎地连接,并权衡物联网设备的潜在破坏或故障风险和限制连接到互联网的成本,物联网消费者还可以帮助遏制网络连接带来的潜在威胁。”

微分割非常符合这个建议,Amato说。他说:“仅仅创建一个单一的物联网段(我称之为物联网沼泽)是不够的,还需要将这些设备彼此分开。”“而且,大多数物联网设备缺乏基于主机的控制,只能通过微分割等外部化解决方案来实现。”

物联网安全的微分割发展缓慢

尽管有潜在的优势,但迄今为止,微分割在物联网安全方面并没有被广泛采用,Amato说。

“我所看到的是,只有那些已经拥有成熟的物联网安全计划的组织,才会在此基础上实施微分割,或将现有计划扩展到物联网领域,”Amato说。

对于大多数组织来说,“简单地将IT和物联网分离开来是他们现在能做的最好的事情,”Amato说。 “有时候,您可以做的最好的事情必须足够好。它很有用,而且我听到很多组织都在谈论它。但是,在研究使物联网全部工作所需的工作量之后,实际上进行物联网微分割的人要少得多。”

Beaver说,对于构建物联网基础架构的组织来说,考虑他们是否真的需要微分割以确保物联网安全非常重要。

“你必须确定你当前的风险水平和业务流程,”Beaver说。“每一项新技术或控制都会带来意想不到的后果。与零信任模型相关联的额外复杂性是否会影响到您的安全计划,从而抵消任何可感知的好处?”

一个好的做法是彻底了解物联网将如何影响企业中的所有网络,以便确定确保数据安全传输的最佳方法。

“制定安全标准和政策,不仅是可执行的,而且是实际实施的——包括物联网,”Beaver说。“控制要聪明。如果你以基于风险的视角来看待它,并承诺将网络复杂性降到最低,你可能就能够获得并保持物联网环境处于控制之下。”

发表评论

电子邮件地址不会被公开。 必填项已用*标注

Next Post

企业利用边缘计算进行物联网分析

周五 8月 7 , 2020
物联网部署正在推动对边缘计算基础架构(包括边缘网关和超融合基础架构)的投资。 物联网需要边缘计算。根 […]