物聯網安全中微周長的重要性
正如預測的那樣,物聯網無處不在。從智能冰箱到通過實時分析提供支持的智能城市,物聯網設備已成為個人和商業網絡的核心元素。這帶來了一些新穎的安全問題。
IoT設備已被反復標記為易受惡意軟件和劫持攻擊,并且還可用于犯罪數據泄露。僵尸網絡攻擊也變得越來越普遍,單獨增加能源成本可能使企業損失高達30萬美元(225,000英鎊)。
這些原因促使網絡管理者尋求創新安全解決方案的趨勢,并且微周界已經引起了很多關注。但是什么是微周長,它們與您的物聯網安全問題有何關系?讓我們了解更多。
什么是微周長,為什么它們很重要?
在網絡安全領域,我們談論了很多關于“威脅表面”和周邊的內容,這些是在保護任何網絡時要牢記的關鍵概念。邊界基本上是描述特定設備或網絡限制的邊界。它們標記每個特定設備作為一個整體與網絡相遇的位置以及網絡上各個節點如何交互,還可以用于模擬網絡本身的限制。
在這篇文章中,我們討論的是基于物聯網的網絡中最小規模的周長:微周長。
為什么微周長而不是更大規模的邊界?在許多現代IT網絡中,保護整個網絡沒有意義。網絡的規模和數百或數千個分立設備的存在意味著采取全面的網絡安全方法可能會錯過細節。
在基于物聯網的網絡中,每個單獨的設備可能潛在地代表安全風險,并且每個設備都需要單獨保護。這就是微周長進入等式的地方。
通過創建特定于設備的安全解決方案,網絡管理員可以鎖定敏感設備,并確保1)來自第三方的威脅最小化; 2)如果威脅突破安全警戒線,系統就可以隔離受影響的設備。
這樣想吧。隨著云已經成為網絡解決方案的一個關鍵方面,網絡規模不斷擴大,網絡節點和惡意行為者之間的潛在連接成倍增加 - 有時呈指數級增長。
使用應用程序保護網絡位置
在這種情況下,安全專家采取了縮小其安全方法的戰略。這往往需要一些核心元素,從保護敏感應用程序開始。
首先,物聯網設備需要采用嚴格的認證程序。這允許合法的員工或用戶訪問設備(例如水電站中的溫度傳感器或家中的Google揚聲器),同時排除沒有適當憑證的設備。
這通常涉及使用雙因素身份驗證(2FA),這會在標準密碼門戶之上添加額外(通常很耗時)的身份驗證層。或者,它可能涉及使用聯合身份驗證系統,該系統使用安全存儲的身份驗證憑據將大型用戶社區匯集在一起。
其次,應用需要提供授權。因此,如果用戶連接到NAS數據庫,則需要有適當的系統來管理訪問級別并確保正確加密機密數據。
在實踐中,兩者一起工作。用戶盡可能高效地進行身份驗證,然后,他們被授權以適當的方式使用IoT設備。當這在整個網絡中擴展時,其想法是保護所有敏感應用程序免受外部威脅。
保護應用層之外的設備
雖然在敏感應用程序周圍建立微周邊是必不可少的,但在許多情況下,它并不代表全面的安全解決方案。為什么?因為在物聯網繁重的環境中,物理設備同樣重要,同樣容易受到外部威脅。
物聯網設備可能成為各種網絡威脅的受害者。例如,它們可能成為僵尸網絡的目標,招募無辜的傳感器或揚聲器來發起全球DDoS攻擊。或者,它們可能成為中間人攻擊的焦點,這些攻擊會在機密數據傳遞到設備時傳輸出來。在某些情況下,設備可以完全脫機。這就是我們在臭名昭著的Stuxnet惡意軟件襲擊伊朗核設施時看到的情況。
這一切都意味著最小的物聯網設備可能是弱點,這會導致系統故障或災難性的數據泄露 - 對任何公司來說都不是一個受歡迎的開發。
在這種情況下,端點安全變得極為重要。這可能意味著定期更新固件,對高風險設備進行物理檢查,或安裝企業級端點安全解決方案,以監控設備與更廣泛的Web之間的每次交互。
但在許多情況下,這種整體方法的細微程度不足以為單個設備提供可靠的保護。相反,需要采用微周邊方法
如果安全管理人員認為它們會帶來更高的安全風險,他們可以圍繞特定設備施加“網絡”保護。這在移動電話的情況下尤其常見(并且有用),移動電話可能離開中央工作場所并與第三方Wi-Fi網絡交互。
公司可能會選擇實施移動設備管理軟件,該軟件記錄每個移動設備,添加安全功能,并確保在每臺筆記本電腦或智能手機上遵循公司安全策略。這是一種方法。
但是,還有其他解決方案可以圍繞物聯網設備創建移動周邊。VPN(虛擬專用網)是一種選擇。這些應用程序加密傳輸到移動設備和從移動設備傳輸的數據,并對其IP地址進行匿名化。這會在每個手機或筆記本電腦周圍創建一個安全“泡沫”,無論用戶在哪里。
對于需要完全遠程工作安全性的中小型組織而言,這可能是一個合適的解決方案。但是你確實需要一個可靠的VPN來鎖定每個微周邊。
在物聯網設備周圍保護微周邊時要注意的事項
一般來說,如果您的家庭或企業托管連接到物聯網的多個設備,建議制定一個政策,使其盡可能安全。在將微周邊固定在設備周圍時,有必要記住一些事項。
- 驗證和身份驗證 - 用戶需要能夠安全地訪問每個設備,同時排除缺少真實憑據的第三方參與者。
- 更新 - 您的設備使用的任何固件必須盡可能保持最新狀態,從而關閉惡意軟件威脅。
- 病毒/惡意軟件防護 - 物聯網設備可能成為惡意軟件的受害者,就像計算機一樣。為連接到Web的所有設備實施掃描和隔離策略。
- 額外的邊界安全性 - 如果您想最大限度地提高設備安全性,那么使用VPN在網絡中引入另一層保護是有意義的。
但是,值得注意的是,在大型設備社區中實施微周邊方法成本高昂。它們適用于高風險節點和小型網絡,對于保存機密數據的設備而言勢在必行。但對于更大的網絡,它們并不總是優于更廣泛的端點安全方法。
