導(dǎo)讀:Juniper Research預(yù)測,到2023年,物聯(lián)網(wǎng)安全支出將達(dá)到60億美元,不斷增長的商業(yè)風(fēng)險和監(jiān)管最低標(biāo)準(zhǔn)將成為主要支出驅(qū)動因素。
受Armis委托,F(xiàn)orrester報告《北美企業(yè)物聯(lián)網(wǎng)安全狀況》顯示,74%的受訪者認(rèn)為,他們的安全控制和實(shí)踐對跨IT、云、物聯(lián)網(wǎng)設(shè)備、醫(yī)療設(shè)備(IoMT)、操作技術(shù)(OT)、工業(yè)控制系統(tǒng)(ICS)和5G的托管和非托管資產(chǎn)不足。
Armis的OT安全和運(yùn)營總監(jiān)Keith Walsh表示,許多機(jī)構(gòu)內(nèi)部安裝設(shè)備的問題在于,每個部門傾向于單獨(dú)進(jìn)行管理和風(fēng)險控制。
Walsh列舉了可能擁有管理OT/ICS設(shè)施的部門的示例,例如:空調(diào)、衛(wèi)生、電信和其他職能部門。各種形狀和大小的服務(wù)器機(jī)房和計(jì)算機(jī)可能由單獨(dú)的IT部門管理。
在典型的辦公室之外,石油和天然氣、石化和化工行業(yè)的加工廠,或發(fā)電廠(核能、其他可再生能源或化石燃料),將有不同的現(xiàn)場運(yùn)營和維護(hù)經(jīng)理管理各種安全和其他控制器。這些領(lǐng)域所需要的專業(yè)知識往往各不相同,因此很難將所有這些可管理的資產(chǎn)集中到一個部門或系統(tǒng)中。
“對于非托管的設(shè)備,可能包括OT和物聯(lián)網(wǎng),這可能是組織的另一個障礙,因?yàn)樗鼈兛赡軓奈幢欢x為安全隱患,直到最近5G/LTE和寬帶滲透到組織的各個方面。”
——Keith walsh
Walsh補(bǔ)充道:“因此,可以肯定地說,典型的組織可能沒有針對所有托管和非托管設(shè)備的完整安全配置文件。資產(chǎn)可見性是開發(fā)安全框架的第一步。我們無法保護(hù)看不到的東西。”
隨著越來越多的家庭設(shè)備連接到互聯(lián)網(wǎng),安全和隱私方面的擔(dān)憂上升到了新的水平。PaloAltoNetworks的《互聯(lián)企業(yè):2021物聯(lián)網(wǎng)安全報告》發(fā)現(xiàn),隨著在家辦公的興起,問題變得更加嚴(yán)重。81%的將物聯(lián)網(wǎng)設(shè)備連接到其組織網(wǎng)絡(luò)的人強(qiáng)調(diào),向遠(yuǎn)程工作的過渡導(dǎo)致了不安全的物聯(lián)網(wǎng)設(shè)備更容易受到攻擊。
Palo Alto Networks的亞太地區(qū)和日本業(yè)務(wù)工業(yè)4.0戰(zhàn)略首席技術(shù)官Alex Nehmy解釋道:“最重要的是,雖然企業(yè)正在采用最佳實(shí)踐并實(shí)施措施限制網(wǎng)絡(luò)訪問,但數(shù)字化轉(zhuǎn)型不僅正在顛覆我們的工作方式,也在顛覆我們保護(hù)工作方式的方式?!?/p>
Nehmy認(rèn)為,保護(hù)非托管設(shè)備和物聯(lián)網(wǎng)設(shè)備仍然是一個持續(xù)的挑戰(zhàn)。由于大多數(shù)網(wǎng)絡(luò)攻擊在被發(fā)現(xiàn)前數(shù)月就進(jìn)入了企業(yè)網(wǎng)絡(luò),因此持續(xù)監(jiān)控和物聯(lián)網(wǎng)設(shè)備安全應(yīng)成為企業(yè)物聯(lián)網(wǎng)安全戰(zhàn)略的重點(diǎn)關(guān)注領(lǐng)域。
現(xiàn)實(shí)和當(dāng)前的危險
我們現(xiàn)在記得的黑客事件包括Colonial Pipeline勒索軟件攻擊、肉類包裝商JBS和針對沙特石化廠的Triton惡意軟件攻擊,這些事件都表明,只要有收益,組織就會繼續(xù)成為攻擊目標(biāo)。
Nehmy警告,當(dāng)今的大多數(shù)物聯(lián)網(wǎng)安全解決方案通過使用手動更新的已知設(shè)備數(shù)據(jù)庫來提供有限的可見性,需要單一用途的傳感器,缺乏一致的預(yù)防,并且無助于創(chuàng)建政策。
其補(bǔ)充道:“他們只能通過整合來提供執(zhí)法,讓網(wǎng)絡(luò)安全團(tuán)隊(duì)承擔(dān)繁重的工作,對未知設(shè)備視而不見,阻礙了其擴(kuò)大運(yùn)營規(guī)模、優(yōu)先工作或最小化風(fēng)險的努力。”
Walsh進(jìn)一步警告,隨著工業(yè)4.0的普及,從IT中誕生的成熟安全流程現(xiàn)在正與OT發(fā)生沖突。物聯(lián)網(wǎng)設(shè)備也趨于簡單化,缺乏復(fù)雜的補(bǔ)丁和防火墻功能。
其繼續(xù)補(bǔ)充道:“展望未來,工業(yè)5.0只會增加人和機(jī)器之間的交互,以至于需要超越當(dāng)前OT和IT安全措施的現(xiàn)實(shí)世界人類安全協(xié)議?!?/p>
IT-OT的融合——誰是老大?
Nehmy認(rèn)為,物聯(lián)網(wǎng)安全的責(zé)任落在運(yùn)營技術(shù)(OT)和信息技術(shù)(IT)團(tuán)隊(duì)的肩上,二者需要協(xié)同工作,以確保物聯(lián)網(wǎng)安全。
擁有一個物聯(lián)網(wǎng)安全系統(tǒng),提供單一的管理平臺,使這些團(tuán)隊(duì)在IT和OT環(huán)境中具有一致的可見性、監(jiān)控和執(zhí)行水平,也有助于將這些文化多元化的團(tuán)隊(duì)聚集在一起,無論其保護(hù)的系統(tǒng)如何。
當(dāng)組織對IoT和OT設(shè)備的可見性有限時,就會阻礙其開始保護(hù)這些設(shè)備的能力。
“我們無法保護(hù)看不見的東西。集成IT和OT安全的最佳實(shí)踐之一包括進(jìn)行持續(xù)監(jiān)控和分析?!?/p>
——AlexNehmy
Nehmy解釋道:“重點(diǎn)應(yīng)該是實(shí)現(xiàn)實(shí)時監(jiān)控解決方案,持續(xù)分析整個網(wǎng)絡(luò)的行為?!?/p>
此外,IT和OT團(tuán)隊(duì)?wèi)?yīng)共同努力,通過強(qiáng)制分割I(lǐng)oT設(shè)備、OT設(shè)備和關(guān)鍵業(yè)務(wù)IT系統(tǒng),確保物聯(lián)網(wǎng)攻擊面得到管理。
保障物聯(lián)網(wǎng)安全的戰(zhàn)略
當(dāng)被問及保護(hù)IoT的一種策略時,Walsh建議理解和識別攻擊表面。
Walsh補(bǔ)充道:“一旦我們做到了這一點(diǎn),就可以正確地修補(bǔ)、劃分和監(jiān)控這些設(shè)備的事務(wù)和相互依賴關(guān)系。降低風(fēng)險首先要了解和識別關(guān)鍵資產(chǎn)的攻擊面。”
IDC警告,物聯(lián)網(wǎng)很容易成為任何組織攻擊的薄弱環(huán)節(jié)或入口,這就是為什么物聯(lián)網(wǎng)解決方案需要在設(shè)計(jì)上是安全的。將零信任框架擴(kuò)展到物聯(lián)網(wǎng)部署,可以增強(qiáng)安全性并降低風(fēng)險。但這是一種企業(yè)級戰(zhàn)略,需要全面了解網(wǎng)絡(luò)上的所有物聯(lián)網(wǎng)系統(tǒng)。
Nehmy同意并補(bǔ)充道,為物聯(lián)網(wǎng)環(huán)境實(shí)現(xiàn)零信任是IT和OT人員設(shè)計(jì)物聯(lián)網(wǎng)安全策略的最佳方法,該策略實(shí)施了最低特權(quán)訪問控制的策略。
構(gòu)建物聯(lián)網(wǎng)安全的商業(yè)案例
物聯(lián)網(wǎng)和OT設(shè)備通常占企業(yè)網(wǎng)絡(luò)設(shè)備的30%以上,其中57%也容易受到網(wǎng)絡(luò)攻擊,因?yàn)樗鼈冊跇?gòu)建時沒有考慮到安全問題,包含現(xiàn)有的漏洞。
Walsh警告道:“物聯(lián)網(wǎng)設(shè)備的攻擊面滲透到企業(yè)的所有環(huán)境中。雖然組織可能尚未在管理所有連接資產(chǎn)的安全上投入更多,但需要從整體上解決不斷增加的攻擊面?!?/p>
針對Colonial Pipeline和JBS的攻擊可能發(fā)生在美國,但Deloitte認(rèn)為,亞太地區(qū)的關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營商正越來越多地成為網(wǎng)絡(luò)間諜活動和復(fù)雜攻擊的目標(biāo),并有可能對能源和供水等基本服務(wù)造成嚴(yán)重破壞。
Nehmy認(rèn)為,隨著物聯(lián)網(wǎng)的使用對關(guān)鍵基礎(chǔ)設(shè)施的日常運(yùn)營變得越來越重要,充分保護(hù)物聯(lián)網(wǎng)和OT設(shè)備成為一個引人注目的商業(yè)案例。
其建議,一個全面的物聯(lián)網(wǎng)業(yè)務(wù)案例應(yīng)該包括所有物聯(lián)網(wǎng)和OT設(shè)備的可見性、持續(xù)監(jiān)控以檢測安全漏洞、設(shè)備風(fēng)險分析,以及保護(hù)和分割這些設(shè)備的能力。理想情況下,這應(yīng)該在單一安全平臺中提供,以實(shí)現(xiàn)最低的總擁有成本。
同時也認(rèn)為,基于物聯(lián)網(wǎng)的網(wǎng)絡(luò)攻擊對金錢、聲譽(yù)和物理安全的影響,使得組織必須投資于先進(jìn)的安全解決方案。
最后,Nehmy總結(jié)道:“就像疫苗讓我們免受COVID-19的影響一樣,對積極預(yù)防措施的投資將使組織處于更好的位置,以對抗物聯(lián)網(wǎng)網(wǎng)絡(luò)犯罪大流行。