cookieOptions = {...}; .物聯網安全:到底是誰的份內事? - 3S Market「全球智慧科技應用」市場資訊網

3S MARKET

3S MARKET
2020年8月24日 星期一

The Future of IoT Security


來源:WatchStor.com 作者:布加迪编译  

雖然物聯網安全一直是討論的熱門話題,但它變得比以往更重要、也更具挑戰性。首先,營運技術(OT)部門完全負責保護物聯網安全的時代已過去,之前它們將生產營運和工業網路與企業網路和網際網路實現物理分離,常採取「透過隱匿來實現安全」的做法。


雖然企業意識到需要將 IT 與 OT 融合起來,以支援新的使用場合、支援網路和應用程式之間開放的資料流、支援更好的業務決策、降低成本以及降低複雜性,但 IT 實踐和 OT 實踐的空白當中出現了新的攻擊面。

其次,網路犯罪分子日益暴露,這些岌岌可危的攻擊面,找物聯網下手。研究表明,由物聯網裝置變成物聯網僵屍網路的主體發動的 DDoS (分散式拒絕服務)日益猖獗。比如說,Mirai 僵屍網路感染了成千上萬個物聯網裝置,讓它們得以協同開展大規模網路攻擊。

第三,說到物聯網安全,每個垂直領域有所不同,一些有關鍵或關鍵任務型基礎設施,還有不同的監管法規。比如在公用事業行業,美國政府最近下令採用《北美電力可靠性公司關鍵基礎設施保護》(NERC CIP)第 5 版作為網路安全標準,醫療保健行業要求遵循《健康保險可攜性及責任性法案》(HIPPA)以確保資料資料安全。

雖然全球的企業 IT、首席資訊保安官和政府,在物聯網安全方面發揮著核心作用,但是圍繞一系列核心需求(以滿足安全、資料保護和隱私方面的關鍵要求)達成共識,這是每個人、尤其是行業的責任。


一、從裝置到行業標準
裝置廠商和安全廠商,對物聯網生態系統來說很重要。然而,裝置廠商遲遲沒有大力搞好安全,原因是這會增加成本、複雜性和上市時間。鑑於許多廠商的安全做法明顯失策,比如將預設名稱和密碼做入到裝置中,消費級物聯網裝置已非常容易中招。

然而 2016 年爆出一系列,備受矚目的消費級物聯網攻擊事件後,不光各國政府在考慮監管,更多的裝置廠商也終於開始在物聯網安全方面有適當的投入。這些廠商採取雙管齊下的做法:保護裝置免受網路的影響,反之亦然。比如說,廠商現在可以透過使用 IETF MUD 標準,為裝置新增一道額外的安全,讓它們能夠「告訴」網路該裝置需要什麼樣的訪問許可權。這讓網路得以拒絕該裝置的任何異常請求。

同時,工業物聯網廠商在大力合作,為物聯網安全建立標準、互操作性和認證。比如說,ODVA、OPC 和 ISA 等製造標準制定機構,努力在安全方面與 IEC 62443 保持一致。這些標準將較高層面的針對特定垂直行業的最佳實踐,與工業安全等常見要素的橫向方法結合起來。

此外,IETF、工業網際網路聯盟(IIC)安全工作組,和 IEEE 等組織一直在積極開發物聯網安全框架、標準和方法,確保不同品牌、型號和型別的互聯物聯網系統實現網路安全。這將幫助企業在開發和部署物聯網解決方案時減小風險。

物聯網環境比傳統 IT 環境來得更分散式、更異構、更復雜,而且常常規模大得多,其獨特挑戰使各有關方的工作變得更復雜。這把我們引到了物聯網安全的下一道防線:所在企業。


二、企業最佳實踐
由於廠商們奮力應對物聯網安全挑戰,積極採用互操作性標準,各行各業的企業也要盡全力來保護物聯網,防止可能災難性的網路攻擊。關鍵戰術包括深入瞭解企業網路、網路端點、物聯網裝置和雲基礎設施。為此,考慮採用下列工具和最佳實踐:

1. 清點連線到網路的裝置和系統
安全團隊通常只有將管理裝置的快照檢視或過時列表作為參考。儘量使發現裝置的過程自動化,準確瞭解哪些裝置在執行哪些作業系統,迅速打上補丁,修復已知的安全漏洞。此外搞一個集中式平台,可以整合所有物聯網專案,為你提供可見性(和安全性),以便從不同系統之間共享的資料獲得新的價值。

2. 採用即時監控和洩露路徑檢測
關注這類解決方案:密切監控網路流量,檢測攻擊者,跟蹤物聯網裝置如何與網路及其他裝置互動。如果物聯網裝置在掃描另一個裝置,或者原本穩定的流量模式發生變化,這很可能表明存在惡意活動。比如說,如果暖通空調系統與銷售點(POS)系統聯絡,或者如果 POS 突然將資料傳送到雲,你可以迅速標記出來,禁止該活動。


3. 實施網路分段和基於角色的訪問控制
確保只有授權的人、機器或程序才能訪問某些類別的裝置或資料流。根本沒有理由允許暖通空調與 POS 聯絡。為了防止這種聯絡,將這些系統隔離在不同的網段上,記得定期審查分段策略、定期測試效果。

4. 訓練員工,打造安全意識文化
你的員工(不管什麼樣的角色)應該是抵禦無數威脅的第一道防線。像物聯網本身一樣,安全教育絕不「一勞永逸」。IT和物聯網面臨的另一個問題是,60% 的安全威脅來自內部。這些安全威脅中四分之一是無意的:從點選網路釣魚郵件中的連結,到不小心為未佩戴證件的人開大門。重申一下,確保物聯網安全是每個人的份內事。

雖然這些最佳實踐有助於保護物聯網,但歸根結蒂企業要採取綜合的、基於策略的物聯網安全方法,將資料安全、裝置安全和物理安全整合起來。這樣才能支援新型的物聯網使用場合,為客戶提供單一責任點。由於每年有數十億新裝置上線,網路邊界或「透過隱匿來實現安全」這種防禦機制,已無法確保物聯網系統的安全。如果我們想獲得聯網系統的全部好處,每個人都要做好份內事。

那麼,你在確保物聯網安全方面的角色又是什麼呢

任何經過翻譯或轉載之中文資訊,我們為了堅持使用台灣常用相關名詞與慣用語法,將與原中文有所變更,但不改內容意義 – 3S MARKET

0 comments: