企业物联网安全如何保障
企业高度互连,生产力飞速提升,但网络风险也随之增加。现代企业有何变化?如何在各种转变中保护好企业网络?
企业及撑起企业运营的信息技术(IT)将生产力提升到了新的高度。过去我们惯于人工处理会计、销售或前台业务,现在这些业务都可以借助过程控制或库存管理传感器、销售终端系统和访问控制等新设备和新技术完成了。 、
然而,这种环境也大幅增加了攻击界面,各种难以管理的设备充斥其中,与网络频繁交互,需要加大监管力度。
从某种意义上讲,现代企业相当于满是联网设备的“企联网”,这些设备不仅沟通信息,还控制着实体世界与技术系统的交互方式。过去几十年已是漏洞利用和数据泄露的天下,如今,这些新入网设备将我们的数字世界与实体世界深度互连,急剧扩大了暴露风险、漏洞影响和有形伤害。鉴于企业还在加速建设虚拟工作环境和现代化各类过程,想让现场操作员可以远程操作,这种风险与危害骤增的情况尤为真实和突出。
万事皆远程的世界里,我们的IT和安全主管比以往任何时候都需要调整和改进自身网络风险缓解策略,实施主动式企联网(EoT)安全措施。Forescout Technologies公司此前开发从外部扫描网络端点的软件,现在出品的客户端软件则可以检查试图接入网络的机器。这家公司的首席技术官Robert McNutt谈到了企联网的一些统计分析数据,给出了保护企联网的几条最佳实践。
数据点1:预测将出现大量物联网部署和非托管设备。
Statista.com估测,到2030年,全球物联网联网设备的数量预计将增加一倍,达到500亿台,去年联网设备的数量为220亿台。这些联网设备中非托管设备的占比越来越高,也就是说越来越多的设备不经IT或安全团队验证就接入企业网络了。国际数据公司(IDC)则表示,今年的IT支出中有37%都花在了非托管设备上,上升29%。
除了企业自身员工,还有许多承包商、合作伙伴和客户也随时随地访问公司数据中心或云。我们过去使用的安全解决方案并不足以解决这些设备带来的问题。大多数基于设备的安全措施都以软件代理的形式呈现,这些软件代理仅兼容Windows或Mac之类主流操作系统,不适用于运行其他操作系统的大量非托管设备。就目前的情况而言,Forescout客户所用设备中不到48%(且这一数字还在不断下降)能够利用基于代理的安全选项(如杀软),且需要其他防护。
数据点2:完整可见性和全面自动化可有效降低风险。
企业实际拥有的设备数量通常都超出自身估计,而自己都不了解的东西,自然也就无从谈起保护了。如果缺乏企联网生态系统的完整可见性和上下文,就不太可能实现关键安全目标,例如保持合规、缩小攻击界面和遏制数据泄露影响。想要实现对整个企业的全面控制,就得了解哪些东西是需要保护的,知道这些东西的既定运行方式。所以,企业需要确定采用哪种工具来建立这种对IT、OT和云端的实时全面感知。
数据点3:零信任恢复完全控制。
安全团队应始终假定网络是外部和内部威胁不断涌入的战场,无论这些威胁是否已经存在于网络上。零信任守则坚持“永不信任,始终验证”的原则,有助于恢复对此类环境的控制。
遵循零信任的企业将细粒度控制应用于所有联网设备及其操作者(如果有操作者的话),并实施最小特权策略,限制这些设备和人仅具有执行其任务/角色所需的访问权限。
零信任不是从某个供应商那里购买的东西,而是跨网络所有层级协同和通过策略执行器共同编排的一项工作,可以通过投资基于上下文的多层架构实现,能够解决任何连接位置的各种设备类型。
数据点4:是极端方法,还是越来越普遍的措施?
零信任原则和网络访问控制大约兴起于15年前。不过,此后零信任偏重决策方面的发展,同时依然遵循根据特定标准判断实体是否具有资源访问权的简单前提。近年来,企业将零信任纳入其安全策略的做法变得越来越普遍。事实上,在过去的一年里,近50%的企业一直在研究各种零信任实施技术。未来几年中我们很可能见证这一数字继续增长。
数据点5:有时自我防护不是可选项而是必选项。
随着实体世界逐渐线上化,我们开始遇到不能离线升级或修复的关键系统,比如关键制造组件、医疗保健设备或公共事业设施传感器。停机对这些技术系统的影响会迅速蔓延到实体世界,可能会断水、断电、中断生产制造,或者削弱提供医疗保健的能力。
涉及此类环境时,靠软件补丁或防病毒代理来防护设备自身是不可能的。企业必须依靠虚拟保镖来保护这些令人垂涎的系统,也就更加凸显出补偿控制的重要性,因为以前使用的工具在保持所需安全态势方面效果不佳。选择补偿控制有利于企业采纳企联网主动防御方法。
关键词:企联网(EoT);物联网;零信任