微隔离能不能拯救物联网安全?
发布时间:2022-06-01 08:59:03 所属栏目:安全 来源:互联网
导读:随着等保 2.0 将物联网和工控系统纳入等级保护监管,处于起步阶段的物联网和工控安全将迎来快速发展。与此同时,随着物联网部署的快速增长,该领域面临的安全威胁也越来越大。根据研究公司 Ponemon Institute 和风险管理服务公司 The Santa Fe Group 的报告
|
随着等保 2.0 将物联网和工控系统纳入等级保护监管,处于起步阶段的物联网和工控安全将迎来快速发展。与此同时,随着物联网部署的快速增长,该领域面临的安全威胁也越来越大。根据研究公司 Ponemon Institute 和风险管理服务公司 The Santa Fe Group 的报告,自2017 年以来,与 IoT 相关的数据泄露事件 “急剧” 增加。使问题进一步复杂化的是,大多数企业并不了解其环境中(包括)第三方供应商的每一个 IoT 设备或应用程序的安全性。Ponemon 的研究表明,许多组织没有解决或管理物联网风险的集中责任制,并且大多数人认为他们的数据将在未来 24 个月内遭到破坏。 IoT 安全风险对于医疗等行业而言尤为严峻,因为终端设备会通过网络收集和共享大量敏感信息。研究公司 Vanson Bourne 调查了 232 个医疗行业用户发现,82% 的受访者在过去一年中遭遇过以物联网为中心的网络攻击。医疗机构最常见的漏洞分布如下:网络 (50%),移动设备和随附的应用程序 (45%),以及物联网设备 (42%)。 保护工业物联网 (IIoT) 环境的一种方法是使用内部防火墙。这似乎是一个显而易见的选择,因为内部防火墙已成为所有安全保护的事实标准。但是,在工业物联网环境中,由于成本和复杂性,防火墙可能是最差的选择。 从历史上看,内部防火墙被部署在流量沿 “南北” 方向移动的地方,并会通过单个入口/出口点,例如核心交换机。而且,连接的设备都是可知和可管理的。但在工业物联网中,连接变得更加动态,流量可以 “东西向” 模式在设备之间流动,从而绕过防火墙所在的位置。这意味着安全团队需要在每个可能的 IIoT 连接点部署内部防火墙,然后跨数百个(可能是数千个)防火墙管理策略和配置,从而造成几乎无法控制的局面。 专门研究 IIoT 安全解决方案的 Tempered Networks 总裁兼首席执行官Jeff Hussey透露,他们的一个客户对内部防火墙需求进行评估后,发现其成本高达 1 亿美元,运营方面的挑战同样巨大。另外一个医疗企业尝试使用防火墙规则、ACL、VLAN 和 VPN 的组合来保护其环境,但是发现无法承受 “高度复杂性带来的运营开销”。 国际控制系统网络安全协会 (CS2AI) 的创始人兼董事长 Derek Harp 认为,随着第三方不断需要从内部系统访问数据,随着工业物联网自身的不断发展和开放,当前的IIoT环境变得越来越 “千疮百孔”。IIoT 网络安全团队面临的挑战远超传统安全团队。 对于工业物联网,微隔离优于内部防火墙 工业物联网安全专业人员应该使用微隔离,而不是内部防火墙。微隔离类似于 VLAN 和 ACL,但是环境隔离是在设备级别完成的,通过规则而不是在网络层进行管理。使用 VLAN 和 ACL,需要将所有设备(包括 IIoT 端点)分配给 VLAN。如果端点移动,则需要重新配置网络以适应。否则该设备将无法连接,或者与被破坏的设备、可能发生不良情况的设备位于同一网络上。 几年前的 Target 违规就是一个很好的例子,零售商的 HVAC 系统遭到破坏,这为销售点 (PoS) 系统制造了后门。传统的安全性在高度静态的环境中非常有效,但是 IIoT 可以通过设备定期加入和离开网络来实现高度动态。 (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号