作为物联网部署安全策略的一部分,微分段可以更精细地控制网络系统,并在利用安全漏洞时更好地隔离。物联网(IoT)为企业带来了一些巨大的好处,例如更深入地了解企业资产和产品的性能、改进制造流程以及更好的客户服务。不幸的是,与物联网相关的安全问题仍然是企业的一个重要问题,在某些情况下,这可能会阻碍企业采用物联网。物联网安全风险的一种可能解决方案是微分段。专家表示,这是一个可以帮助控制物联网环境的网络概念。通过微分段,组织可以在其数据中心和云计算环境中创建安全区域,从而使他们能够隔离和保护彼此的工作负载。在物联网环境中,微分段可以让企业更好地控制设备之间不断增加的横向通信量,绕过以边界为中心的安全工具。企业将微细分应用于物联网可能还为时过早。但行业观察人士认为,物联网部署有可能促使企业采用微分段来提供比传统防火墙更精细、更简单的保护。IoT带来新的安全风险IoT安全风险可能包括涉及连接设备本身、支持IoT的软件和网络的多种威胁。随着物联网部署的增长,安全威胁也在增加。根据研究机构PoromenonInstitute和风险管理服务提供商TheSantaFeGroup的调查报告,自2017年以来,与物联网相关的数据泄露事件急剧上升。使问题进一步复杂化的是,大多数组织并不知道其环境中或来自第三方供应商的每一个不安全的物联网设备或应用程序。PolomonInstitute的研究表明,许多组织没有集中负责解决或管理物联网风险,而且大多数人认为他们的数据可能会在未来24个月内遭到破坏。对于医疗保健等行业,物联网安全风险可能更高,因为设备通过网络收集和共享大量敏感信息。研究公司VansonBourne调查的232家医疗机构中有82%表示他们在过去一年中经历过以物联网为中心的网络攻击。当被要求确定医疗保健组织中最突出的漏洞在哪里时,最常提到的是网络(50%),其次是移动设备和配套应用程序(45%),以及物联网设备(42%)。微分段如何帮助物联网安全微分段旨在使网络安全更加精细。下一代防火墙、虚拟局域网(VLAN)和访问控制列表(ACL)等其他解决方案提供了一定程度的网络分段。但是,通过微分段,可以将策略应用于单个工作负载以更好地防止攻击。因此,这些工具提供比虚拟局域网(VLAN)等服务更细粒度的流量分段。软件定义网络(SDN)和网络虚拟化的出现推动了微分段技术的发展。与软件不与底层硬件分离相比,使用与网络硬件分离的软件更容易实现微分段。由于与防火墙等面向边界的产品相比,微分段可以更好地控制数据中心流量,因此可以防止攻击者进入网络造成破坏。分段也有管理上的好处。研究公司IDC的物联网安全分析师RobynWestervelt表示:“如果能够正确实施微分段,它可以在物联网设备和其他敏感资源之间增加一层安全性,而不会在防火墙上造成漏洞。”底层基础设施必须支持这种方法,并且可能需要安装新的现代交换机、网关等。”出于安全或隐私原因将网络分成多个部分的概念并不新鲜。一段时间以来,组织一直在隔离一些关键或高风险资源。例如,Westervelt说,网络分段在零售业中很常见。许多商家将他们的支付环境与其他网络流量隔离,以缩小支付卡行业数据安全标准(PCIDSS)的范围,这是一套安全标准,旨在确保公司在接受、处理、存储或传输信用卡信息时保持安全的环境.“这并非万无一失,因为正如我们在零售商Target的数据泄露事件中看到的那样,攻击者可以找到一种从一个系统跳到另一个系统的方法,”Westervelt说。技巧和资源;足以阻止许多出于经济动机的攻击者。但这是可以完成的。”Westervelt说,Target数据泄露的细节多年来一直令人困惑。“攻击者使用窃取的凭证访问Target用于向其HVAC供应商付款的承包商计费系统。从那里,他们可以访问网络并横向移动到POS(销售点)系统,”她说.他说,Westervelt微分段还可用于隔离虚拟环境中的关键应用程序工作负载。“通过这种方式,组织可以对关键工作负载进行更严格的控制,并密切监控访问和更改,”她说。该技术也被认为是工业控制系统环境中的良好实践。“组织可以使用工业防火墙和单向网关来隔离分配给敏感过程的关键PLC,”她说。“在IT环境中,可以对新部署的具有全球互联网连接的操作技术(OT)进行分段,以防止攻击者将其用作生产系统的集结地或踏脚石。这就是微分段与物联网相关的地方“这些操作技术(OT)包括现代建筑管理系统、太阳能电池板、电梯传感器和物理安全机制,包括灭火系统,”Westervelt说。目前这不是一个重要领域,但我们看到一些大型银行和金融服务公司正在减少运营数据中心设施中与技术(OT)相关的风险。根据网络专家的说法,将微分段部署为更广泛的物联网安全战略的一部分可能是有意义的。独立信息安全顾问KevinBeaver表示:漏洞。这些好处不仅可以帮助提高安全可见性和控制力,还可以改善事件响应和取证。“这项技术可能是将物联网网络与IT系统分开的一种非常有效的方法,”研究公司Gartner的分析师JonAmato说。微分段产品还能够创建虚拟段,将设备类型彼此分开,甚至跨越多个物理位置。Amato说,它还符合美国国土安全部(DHS)等组织的物联网安全指南。在其《确保物联网安全的战略原则》报告中,国土安全部建议组织权衡连接的好处与风险:“考虑到物联网设备的使用以及与之相关的风险,尤其是在工业环境中,物联网用户应仔细考虑连接的需求,”报道称。物联网消费者还可以通过谨慎连接和权衡潜在限制物联网设备故障或限制互联网连接的成本来帮助管理网络连接带来的潜在威胁。Amato说,微分段非常符合要求。“仅仅创建一个物联网段是不够的,你还需要将这些设备彼此分开,”他说。此外,大多数物联网设备缺乏基于主机的控制,因此企业只能通过微分段等解决方案来实现这一点。物联网安全的微分段起步缓慢尽管有潜在的好处,但到目前为止,似乎还没有广泛采用物联网安全的微分段,Amato说。“我看到的是,只有那些已经拥有成熟物联网安全程序的组织才能实施微分段,或者将现有程序扩展到物联网领域。对于大多数组织而言,将IT和IoT彼此分开只是他们现在能做的最好的事情。在查看了使物联网全部运行所涉及的工作水平之后,实际上进行物联网微细分的企业较少。很多。Beaver说,对于构建物联网基础设施的组织来说,考虑他们是否真的需要对物联网安全进行微分段非常重要。每一项新技术或控制都会产生意想不到的后果。与零信任模型相关的额外复杂性是否会以抵消感知利益的方式影响企业的安全计划?”一个好的做法是彻底了解物联网如何影响企业中的所有网络,以确定数据传输的安全性。一个很好的方法。“企业实际上可以执行安全标准和政策[包括物联网],如果他们从基于风险的角度来处理它并希望将网络复杂性保持在最低限度,那么也许他们可以,”Beaver说.掌控自己的物联网环境》版权声明:本文由D1Net编译,转载须注明出处为:D1Net,如未注明出处,D1Net将保留追究其法律责任的权利。
