作为物联网安全策略的一部分,部署在数据中心使用的MicroSegmentation可以实现对网络系统的更细粒度控制并实现更好的隔离。随着等级安全2.0将物联网和工控系统纳入等级保护监管,处于起步阶段的物联网和工控安全将迎来快速发展。同时,随着物联网部署的快速增长,该领域面临的安全威胁也越来越大。根据研究公司PonemonInstitute和风险管理服务公司TheSantaFeGroup的一份报告,自2017年以来,与物联网相关的数据泄露事件“急剧”增加。使事情更加复杂的是,大多数企业并不了解其环境(包括第三方供应商)中每个物联网设备或应用程序的安全性。Ponemon的研究表明,许多组织没有集中负责解决或管理物联网风险,而且大多数人认为他们的数据将在未来24个月内受到损害。物联网安全风险对于医疗保健等行业尤为严重,因为终端设备通过网络收集和共享大量敏感信息。研究公司VansonBourne对医疗保健行业的232名用户进行了调查,发现82%的受访者在过去一年中经历过以物联网为中心的网络攻击。医疗保健组织中最常见的漏洞分布如下:网络(50%)、移动设备和配套应用程序(45%)以及物联网设备(42%)。微分段,更好的选择早在2017年,Gartner就将微分段评为最值得关注的11项信息安全技术之一。当攻击者渗透到企业系统中获得立足点时,他们通常能够在周围系统中自由扩展。微分段技术可以隔离和划分虚拟数据中心,防止攻击者在内部漫游,将攻击造成的损失降到最低。近年来微分段技术发展背后的主要驱动力是软件定义网络(SDN)和网络虚拟化的出现。与尚未与底层硬件分离的软件相比,使用与网络硬件分离的软件更容易实现分段(隔离)。与防火墙等以边界为中心的产品相比,微分段技术大大提高了数据中心的流量控制能力,因此可以有效阻止攻击者进入网络进行破坏。微分段还具有管理优势。IDC物联网安全分析师RobynWestervelt表示,如果实施得当,微分段可以在物联网设备和其他敏感资源之间增加一层安全性,而不会在防火墙中造成漏洞。但底层基础设施必须支持这种方法,并且可能需要安装更新的交换机、网关等。内部防火墙对于IIoT而言过于昂贵和复杂,保护工业物联网(IIoT)环境的一种方法是使用内部防火墙。这似乎是一个显而易见的选择,因为内部防火墙已经成为所有安全保护的事实标准。然而,在IIoT环境中,由于成本和复杂性,防火墙可能是最糟糕的选择。从历史上看,内部防火墙部署在流量“南北”移动并通过单个入口/出口点(例如核心交换机)的地方。此外,连接的设备是已知的和可管理的。但在IIoT中,连接变得更加动态,流量可以以“东西”模式在设备之间流动,绕过防火墙所在的位置。这意味着安全团队需要在每个可能的IIoT连接点部署内部防火墙,然后跨数百(可能数千)个防火墙管理策略和配置,造成几乎无法控制的情况。专注于IIoT安全解决方案的TemperedNetworks总裁兼首席执行官JeffHussey透露,他们的一位客户评估了对内部防火墙的需求,发现其成本高达1亿美元,并且在运营方面同样具有挑战性。另一家医疗保健组织尝试使用防火墙规则、ACL、VLAN和VPN的组合来保护其环境,但发现它无法承受“高复杂性的运营开销”。国际控制系统网络安全协会(CS2AI)的创始人兼主席DerekHarp认为,当前的IIoT环境变得越来越复杂,因为第三方继续需要从内部系统访问数据,并且随着工业物联网本身继续进化和开放。越来越“千疮百孔”了。IIoT网络安全团队面临的挑战远远超过传统安全团队。对于工业物联网,微分段优于内部防火墙工业物联网安全专业人员应该使用微分段而不是内部防火墙。微分段类似于VLAN和ACL,但环境隔离是在设备级别完成的,通过规则而不是在网络层进行管理。使用VLAN和ACL,所有设备(包括IIoT端点)都需要分配给VLAN。如果端点移动,则需要重新配置网络以适应。否则,该设备将无法连接,或与受感染设备位于同一网络中,这可能是有问题的。一个很好的例子是几年前的Target漏洞,该零售商的HVAC系统遭到破坏,从而在销售点(PoS)系统中创建了一个后门。传统的安全性在高度静态的环境中运行良好,但IIoT可以随着设备定期加入和离开网络而高度动态化。工业物联网是微隔离的绝佳用例微隔离的优势在于它可以在软件中配置并在设备连接层运行,这是一种基于端点的策略。例如,可以创建一个微分段规则,以便所有医疗设备都在一个特定的段中,并与其余连接的节点隔离。如果移动医疗设备,策略将遵循而无需重新配置。如果Target一直在使用IIoT微分段,并且HVAC和PoS系统位于单独的微分段中,那么黑客最糟糕的做法就是加热商店的室温。微分段已应用于数据中心,以保护虚拟机和容器之间流动的横向流量。网络安全团队现在应该寻求将这项技术推广和扩展到更多用例,保护工业物联网端点是一个很好的用例。这将使企业能够在不使公司面临风险的情况下推进数字化转型计划。
