tele forum


Klacci 凱樂奇 商用級智慧門鎖解決方案



當物聯網技術出現時,醫療保健、智慧城市、建築管理、公用事業、運輸和製造業等行業很早就開始採用。 現在,物聯網已經被很多公司使用。


根據 Palo Alto 的一份報告,現在企業網路上高達 30% 的裝置是物聯網裝置。 事實上,世界已經看到了 IT 和營運技術(OT)系統的結合。 物聯網裝置在這種結合中發揮了重要作用。 物聯網顯著改善了流程自動化、供應鏈管理和遵守一些合規性,並正在提高勞動力的生產力。


但物聯網也帶來了許多嚴重的網路安全挑戰......


物聯網的 3 大安全問題是什麼?

大量物聯網裝置仍然不受監控和不安全,但它們已連線到公司的網路。 通常擅長保護其他網路裝置等的 IT 團隊發現很難保護物聯網裝置。


有兩個主要原因......

標準的網路安全安排,通常無法辨識所有類型的物聯網裝置。 他們無法為每種此類裝置建構獨特的「風險配置檔案」,也不知道與此類裝置相關的預期行為是什麼。


更大的原因是,物聯網裝置仍然不被視為 IT 的一部分(正如我們所知),但這些裝置被任何商務中心根據他們的奇思妙想和幻想使用。 結果是,這些裝置繞過了你的標準資訊保全控制和流程......


這個問題更加嚴重,因為不同的物聯網裝置使用不同的硬體、晶片組、作業系統和韌體,並且其執行壽命比網路壽命長。


由於很難辨識此類裝置,並為它們建構追蹤機制,物聯網裝置通常被視為企業網路中的「非網管端點」。 這使得他們容易受到 3 種類型的網路攻擊:漏洞、密碼相關攻擊/網路釣魚和惡意軟體......


在上面的圖形中,帕洛阿爾託漂亮地描繪了物聯網裝置的各種威脅。


什麼是物聯網安全?

既然您已經瞭解了物聯網裝置提出的安全問題,現在是時候進行“物聯網安全”了。


物聯網安全,可以被定義為安全策略和保護機制的組合,這些策略和保護機制,是專門為保護你的物聯網裝置免受網路攻擊而設計的,其明確意圖是保護你的其他 OT 和 IT 系統和網路。


更讓人關注物聯網安全的原因是,公司網路中增加了許多不同類型的此類裝置。 你可能不明白,新增到你的網路中的每種不同類型的裝置,正在極大地擴大你的組織面臨的攻擊表面。 你可能不明白,除非該裝置已經得到充分保護,否則每一種此類裝置,都有可能成為你公司安全態勢的最薄弱環節。


你可能想知道,98% 的物聯網裝置流量是未加密的。 為什麼它不會使的個人和機密資料面臨嚴重風險......??


這些裝置的硬體和作業系統差異很大,以至於一種適用於一種此類裝置的安全方法將無法適用於另一種類似裝置。


這就是為什麼不存在與大多數物聯網平台相容的,單一惡意軟體預防代理。


物聯網裝置繼續存在使用較弱密碼的壞習慣。 大量物聯網裝置習慣性地未修補,通常在過時的作業系統上執行。


點對點 C&C 通訊和自我傳播物聯網惡意軟體蠕蟲,是物聯網安全領域出現的兩種新攻擊策略。


如何在企業中保護物聯網裝置?

在我之前關於物聯網的報導分享中,我已經確定每個物聯網設備,都可以成為威脅行為者的潛在入口點。如果沒有圍繞它們建立一些強大的安全性,那麼這些設備,很可能會受到任何威脅行為者的破壞和控制。一個置入就可以使攻擊者轉向企業網路中,更重要的數位資產。


一旦感染了惡意軟體,這些物聯網裝置就可以用作「殭屍網路」,對使用網際網路的任何外部網路發起 DDoS 攻擊。


以下是你的組織或您可以做的幾件事:


1. IT/OT 團隊的相互責任。

管理這些裝置的安全性,是你的 IT/網路安全團隊以及營運技術(OT)團隊的共同責任。 兩者應該共同努力,以確保所有這些「非網管」裝置都與那些受管理的 IT 裝置處,於相同的可見性和控制等級。


2. 可見性是關鍵。

你必須知道你組織中執行的所有物聯網裝置。 什麼類型? 什麼數字? 哪裡? 什麼品牌? 什麼硬體/作業系統? 需要更多的細節。


關鍵是,你必須發現哪些類型的裝置,連線到你的網路,並且你需要保留所有連線的物聯網資產的詳細、最新清單,最好使用專用的物聯網安全解決方案,以確保辨識所有裝置。 你收集製造商和型號 ID;序列號;硬體、軟體和韌體版本;以及適用於每個裝置的底層作業系統,和配置資訊。


我建議你再向前走一步,確定每個裝置的風險配置檔案,及其適用於網路中其他連線裝置的行為。 你可能想問我一個問題 —— 為什麼?


答案很簡單 —— 這些風險簡介將極大地幫助你做出網路分段決策,並在 NGFW 中建立適當的政策。


與連線到網路的每個新物聯網裝置一起,你應該始終保持資產地圖的當前(最新)。


3. 網路分割是必須的。

請注意一件事,作為安全專業人員,你總是希望將爆炸半徑保持在儘可能小。 你只能透過網路分割來實現這一點。


網路分割將網路劃分為多個子部分,以便你能夠精細地控制裝置和工作負載之間的流量橫向移動。 與此同時,網路越分割,駭客就越難橫向移動。


因此,你應該使用 VLAN 配置,和適當的防火牆策略,來實施網路段,使物聯網裝置與公司的其他 IT 資產保持分離。


你應該選擇一個好的物聯網安全平台,與你的 NGFW 很好地整合...


4. 採用安全密碼實踐

許多物聯網裝置都帶有弱預設密碼,很容易在網上找到。 因此,一旦物聯網裝置首次連線到你的網路,最好根據安全團隊的密碼策略,使用安全、更復雜的密碼重置其預設密碼。 保持強大的密碼安全性對於保護你的物聯網端點至關重要。


5. 將韌體修補和更新作為首要順序。

大多數物聯網裝置,可能沒有內建的自我或自動更新功能,就像你的其他 IT 裝置或軟體一樣。 這就是為什麼他們的安全缺陷,會無限期地留在那裡。


當你設定新的物聯網裝置時,你應該訪問供應商的網站,並下載任何針對已知漏洞的新安全補丁。 你應該確保你的裝置定期使用最新更新進行補丁,這很重要,因此與你的物聯網裝置供應商合作,建立定期補丁管理和韌體升級策略。


對於保質期特別長的物聯網裝置,通常也有製造商停止支援的風險。 如果你遇到任何此類情況,請建議公司管理層儘快用較新的物聯網裝置,替換這些裝置。 請記住,一台 20 美元的裝置,可能會使你的公司損失 2000 萬美元的違約......


6. 監視器,監視器,mONitEr

你應該隨時主動監控物聯網裝置。 沒有藉口!


你應該實施一個即時監控解決方案,該解決方案可以持續分析所有網路連線的物聯網端點的行為。