至今,仍有人认为物联网是将来的事情。实际上,物联网设备已经在保健、政府、制造、金融和其它行业崭露头角。据权威机构IDC预计,在未来的五年内物联网在未来的五年内必将进入所有行业,并且在未来的两年内大多数IT网络将遭到与物联网有关的攻击。
还有研究表明,与物联网有关的风险和漏洞正在企业中出现,这是因为企业缺乏物联网的设备管理,例如缺少监视和打补丁的机制。而且,大量的企业还没有实施任何控制,无法防止未获得授权的设备连接到公司网络。
物联网漏洞现在已经存在,而且连接到公司网络和访问公司数据的新设备可谓日益剧增。
本文将探讨与物联网有关的安全问题,并提供相关策略和建议,探究如何做好准备应对这些威胁。
物联网风险
当今企业的网络连接几乎包括从雇员设备到空调、照明系统等一切对象。设备类型千差万别。例如,医院内部那些不可管理的或未被管理的连网设备与炼油厂、污水处理厂、生产车间的连网设备就有很大不同。一般说来,设备属于IT基础架构的范畴,因为IT部门拥有、管理、控制着IP地址、以太网、无线连接设备,以及运营的基础设施(如传感器和连接器等)。从安全的意义上说,物联网并不是只有一种问题,而是成千上万,而且每种新增加的设备类型都代表着黑客可以攻击的一个具体机会。
与物联网有关的安全风险包括基于Web的恶意软件、ICS固件、经由受攻击的网络而实施的OT攻击、鱼叉式网络钓鱼、内部人员威胁、错误的软件补丁,还有通过无线系统对设备实施的攻击。从黑客的观点看,他可以访问包括从视频摄像机、生产机器、位置传感器、连网的空调系统、控制系统,或是与网络相联的传输组件,等等。
可能产生的影响
在将物联网设备添加到基础架构中时,企业应当从一开始就考虑安全性。例如,企业要判定设备中是否整合了安全性,并考虑此设备如何适应企业的安全环境。此外,还要知道如今的安全问题已经不仅仅是网络管理员的问题了,而是要涉及到设备的制造者,而且每个物联网设备的制造商都应当解决安全问题。此外,分层安全(从设备到操作系统,从应用程序到网络的基础架构)也很重要。对于操作系统,企业最好通过沙箱技术来隔离应用程序。同时,企业还要对通信的基础架构进行加密和保障安全性。
同样,物联网也迫使规划人员对于未知的和未加管理的设备制定策略,在有些情况下,需要加密网络。还有,IT可能需要对减轻威胁的边缘(防火墙、入侵防御系统等)进行扩展,使其可以覆盖物联网设备。
从行业的观点看,物联网的基础部分包括设备、传感器、系统、场系统,或是由网络和通信所连接的其它设备,以及由SCADA(数据采集与监视控制系统)网络控制的其它系统。“传感器到企业”的连接方式打开了企业这座宝藏。为保障宝藏的安全性,应确保严格的安全策略、培训要求、基于角色的控制面板、持续的威胁检测和管理,等等。虽然网络安全意识在一些领域已经很强了,但并非每一个行业都如此。笔者建议重新评估和设计传统的策略,防止未来发生不可挽回的破坏。
企业现在就应当开始为与物联网有关的安全问题做好准备,因为攻击者知道这些设备可以连接到其它的系统和机器,并开始将其作为攻击目标。安全管理员可能还未认识到此问题,但有的管理员已经开始考虑与物联网有关的威胁,因为企业中已经安装了物联网设备,例如,移动雇员可以轻松地访问连网的打印机。最大问题在于几乎每时每刻都有新的物联网设备,这些设备就成为了新的攻击点或入口。
与此类似的是,制造业历年来都在使用机器、设备、传感器、系统等,但直到近来才使设备的连接和协作成为可能。互联网连接打开了制造商的后门和前门的一些漏洞。很明显,黑客占有优势,因为工业易遭受攻击。因而,为实现及时响应和防御威胁,企业需要实时且不断地监视这些连网的系统,并能够在发现威胁时及时发出警告。
心动不如行动
安全厂商和供应商在与物联网有关的不同领域发展,例如,在硬件和软件方面实现嵌入式安全(认证、访问控制、加密)。有些设备制造商正在将安全性作为设备的一个设计标准,而且现有的安全厂商正在构建在物联网环境下的网络解决方案,而新厂商应当为物联网环境开发新方案。
总体说来,从企业方面看,强健的物联网安全需要从以下三方面入手。
首先是调查。企业IT首先要现场调查,要理解当前有哪些网络连接,如何连接,为什么连接,等等。
其次是评估。IT要判定这些设备会带来哪些威胁,如果这些设备遭受攻击,在遭到破坏时,会发生什么,有哪些损失。
最后是增加网络安全。企业要依靠能够理解物联网的设备、协议、环境的工具,这些工具最好还要能够确认和阻止攻击,并且能够帮助企业选择加密和访问控制(能够对攻击者隐藏设备和通信)的解决方案。
作者:赵长林
来源:51CTO