微隔離能否拯救物聯網安全?
將數據中心使用的微隔離技術 (MicroSegmentation) 作為 IoT 物聯網安全策略的一部分進行部署,可以實現對網絡系統更細粒度的控制,并實現更好的隔離。
隨著等保 2.0 將物聯網和工控系統納入等級保護監管,處于起步階段的物聯網和工控安全將迎來快速發展。與此同時,隨著物聯網部署的快速增長,該領域面臨的安全威脅也越來越大。根據研究公司 Ponemon Institute 和風險管理服務公司 The Santa Fe Group 的報告,自2017 年以來,與 IoT 相關的數據泄露事件 “急劇” 增加。使問題進一步復雜化的是,大多數企業并不了解其環境中(包括)第三方供應商的每一個 IoT 設備或應用程序的安全性。Ponemon 的研究表明,許多組織沒有解決或管理物聯網風險的集中責任制,并且大多數人認為他們的數據將在未來 24 個月內遭到破壞。
IoT 安全風險對于醫療等行業而言尤為嚴峻,因為終端設備會通過網絡收集和共享大量敏感信息。研究公司 Vanson Bourne 調查了 232 個醫療行業用戶發現,82% 的受訪者在過去一年中遭遇過以物聯網為中心的網絡攻擊。醫療機構最常見的漏洞分布如下:網絡 (50%),移動設備和隨附的應用程序 (45%),以及物聯網設備 (42%)。
微隔離,更好的選擇
早在 2017 年,Gartner 就將微隔離技術 (Microsegmentation) 評為 11 大最值得關注的信息安全技術。
當攻擊者滲透進入企業系統獲得據點,通常都能在周邊系統自由拓展。微隔離技術能夠在虛擬數據中心中進行隔離劃分,防范攻擊者的內部游走,將攻擊導致的損失降至最低。
近年來推動微隔離技術發展的主要動力是軟件定義網絡 (SDN) 和網絡虛擬化的出現。通過使用與網絡硬件分離的軟件,與那些尚未與底層硬件分離的軟件相比,分段(隔離)更容易實現。
相比防火墻這種以邊界為中心的產品,微隔離技術大大提高了數據中心的流量控制能力,因此可以有效阻止攻擊者進入網絡進行破壞。
微隔離也有管理上的好處。IDC 的 IoT 安全分析師 Robyn Westervelt 表示:
如果可以正確實施微分段,則可以在 IoT 設備和其他敏感資源之間添加一層安全保護,而不會在防火墻上造成漏洞 。但是底層的基礎架構必須支持這種方法,并且可能需要安裝比較新的交換機、網關等。
對于工業物聯網來說,內部防火墻太貴太復雜
保護工業物聯網 (IIoT) 環境的一種方法是使用內部防火墻。這似乎是一個顯而易見的選擇,因為內部防火墻已成為所有安全保護的事實標準。但是,在工業物聯網環境中,由于成本和復雜性,防火墻可能是最差的選擇。
從歷史上看,內部防火墻被部署在流量沿 “南北” 方向移動的地方,并會通過單個入口/出口點,例如核心交換機。而且,連接的設備都是可知和可管理的。但在工業物聯網中,連接變得更加動態,流量可以 “東西向” 模式在設備之間流動,從而繞過防火墻所在的位置。這意味著安全團隊需要在每個可能的 IIoT 連接點部署內部防火墻,然后跨數百個(可能是數千個)防火墻管理策略和配置,從而造成幾乎無法控制的局面。
專門研究 IIoT 安全解決方案的 Tempered Networks 總裁兼首席執行官Jeff Hussey透露,他們的一個客戶對內部防火墻需求進行評估后,發現其成本高達 1 億美元,運營方面的挑戰同樣巨大。另外一個醫療企業嘗試使用防火墻規則、ACL、VLAN 和 VPN 的組合來保護其環境,但是發現無法承受 “高度復雜性帶來的運營開銷”。
國際控制系統網絡安全協會 (CS2AI) 的創始人兼董事長 Derek Harp 認為,隨著第三方不斷需要從內部系統訪問數據,隨著工業物聯網自身的不斷發展和開放,當前的IIoT環境變得越來越 “千瘡百孔”。IIoT 網絡安全團隊面臨的挑戰遠超傳統安全團隊。
對于工業物聯網,微隔離優于內部防火墻
工業物聯網安全專業人員應該使用微隔離,而不是內部防火墻。微隔離類似于 VLAN 和 ACL,但是環境隔離是在設備級別完成的,通過規則而不是在網絡層進行管理。使用 VLAN 和 ACL,需要將所有設備(包括 IIoT 端點)分配給 VLAN。如果端點移動,則需要重新配置網絡以適應。否則該設備將無法連接,或者與被破壞的設備、可能發生不良情況的設備位于同一網絡上。
幾年前的 Target 違規就是一個很好的例子,零售商的 HVAC 系統遭到破壞,這為銷售點 (PoS) 系統制造了后門。傳統的安全性在高度靜態的環境中非常有效,但是 IIoT 可以通過設備定期加入和離開網絡來實現高度動態。
工業物聯網是微隔離下一個優秀用例
微隔離的優點是可以在軟件中配置,并且在設備連接層上運行,是基于端點的策略。例如,可以創建一個微隔離規則,讓所有醫療設備都位于特定的段中,并且與其余連接的節點隔離。如果移動了醫療設備,則該策略將隨之而動,無需重新配置。如果 Target 一直在使用 IIoT 微隔離,并且 HVAC 空暖控制系統和 PoS 系統位于不同的微分段,那么黑客能做的最壞的事情無非就是讓商場室溫升高。
微隔離已經應用于數據中心,以保護在虛擬機和容器之間流動的橫向流量。網絡安全團隊現在應該尋求將該技術推廣和擴展到更多應用場景,保護工業物聯網端點就是一個優秀的用例。這將使企業能夠推進數字化轉型計劃,而不會給公司帶來風險。
