越來越多的設備聯網讓安全威脅頻出。今年3月,黑客入侵了一家位于硅谷的安全設備廠商,盜取了15萬個攝像頭拍攝的實時視頻。同樣是在年初,PaloAltoNetworks對13.5萬個安全攝像頭進行了檢查,發現54%的攝像頭至少有1個安全漏洞,黑客利用這些漏洞可以完全控制、操控這些攝像頭,以此為跳板進入企業網絡發動攻擊。此外,大部分家庭使用的路由器也普遍存在安全漏洞,黑客很容易通過這些設備進入家庭網絡,利用薄弱的家庭和辦公設備發起勒索攻擊。
連續兩年的調查結果顯示,企業必須改善網絡安全措施,以保護企業網絡免受非商業物聯網設備帶來的風險。今年的研究中,100%的中國大陸受訪者都認為其組織的物聯網安全保護方法需要改進,27%的受訪者則表示需要徹底改革。其中,對風險評估(70%)、提供給安全團隊的物聯網設備上下文(64%)、裝備可見性和庫存(62%)以及政策執行和零信任控制(62%)等方面需求最大。
隨著更多的員工以個人為單位使用智能音箱、穿戴設備、智能家居等產品,安全風險的入口也越來越多,而且像工業類企業用到的傳感器也越來越細分,包括具有WiFi功能的恒溫器控制的采暖通風和HVAC系統等等,這些傳感器在接入核心網的時候很可能沒有經過IT運維團隊的授權。一項調查顯示,大多數企業并沒有覺察到物聯網或工業物聯網的無線網絡,與企業基礎設施是分離的。
當物聯網時代的傳感器變得無處不在,黑客利用IP攝像頭等端口尋找到的潛在目標類型五花八門,例如會盯上一些沒有密碼或弱密碼的網絡打印機。更可怕的是,這些威脅很難讓人感知到,這些攻擊的特點是規模小,可以逃過安全網絡的監控,直接進入到系統后端,但不會在短期內造成嚴重影響。不過一旦把時間線拉長,這些漏洞就會演變成為多維攻擊造成更嚴重的后果。
值得注意的是,在今年所有受訪的中國大陸IT決策者中,有35%表示其物聯網設備連接的網絡與所屬企業主要設備及業務應用(如人力資源系統、電郵服務器、財務系統)的網絡各自獨立運作。44%受訪者遵循了最佳實踐——網絡微分段(Microsegmentation),在網絡中創建的嚴格控制之安全區域,以隔離物聯網設備并將它們與IT設備分開,防止黑客在網絡上橫向移動進行攻擊。
在部署物聯網設施的過程中,企業通常無法控制這些智能連接設備所使用的軟硬件來源與品質。存在于不同IT環境中的聯網設備,多數是由不同廠商“組裝”起來的,硬件、軟件、組件的提供方都不一樣。這種情況造成的困境之一是,有時候芯片升級了可對應的軟件升級并沒有趕上,而安全補丁更新的時候組件又不支持。這也就是為什么,有的物聯網安全廠商會在一開始就希望將安全解決方案整合到一個平臺中,而不是之后不斷的打補丁。
預測性防護,也是工業類客戶常用的一項措施。例如蒂森克虜伯用物聯網技術把全球近110萬部電梯的數據全部采集集中到云平臺上。比如這部電梯可以每天走了多少次、每次載重情況,每次行程過程中的各種部件參數,都可以實時采集,并用來進行機器學習。像Schindler也在與GEPredix平臺合作,對物聯網環境進行預知防護,但一個問題是,這些客戶逐漸發現這類投入導致ROI并不想理想,至少從時間上看是這樣。
理想狀況下,新加入的物聯網設備和工業設備應該通過專有的控制器來連接網絡,配置唯一對應的識別碼。對于那些不合法的設備,數據是不能傳輸給它們的。當然這里指的識別碼不是MAC或者OUI,這些在多類型設備部署在不同環境時并沒有專有性。
當然物聯網廠商也沒有放棄對安全性的嘗試,除了硬件加密,算法加密也是常被用到的安全手段。相信安全人員對于哈希函數并不陌生,其單向不可逆的特性使得對方難以從哈希值來推斷出原始密碼。當存有密碼信息的哈希值放進數據庫后,用戶在登錄系統時可以比對輸入值是否與庫中的哈希值相同。然而,難破解不等于無解,字典攻擊和暴力攻擊是常用于攻破哈希算法的手段,人們能做的只是降低系統被攻擊的頻率和效率。
根據PaloAltoNetworks的觀察,工遠程辦公給企業帶來的安全挑戰可以總結為三個層面:
第一,沒有托管的安全服務的家庭網絡,本質上是不安全的,沒有辦法通過企業標準的安全軟件和策略加以保護,這就導致很難對從家庭網絡入侵企業網絡的威脅加以防范;
第二,缺乏網絡分段。黑客很容易輕松的從家庭網絡橫向擴展到企業網絡,進而對企業內部的機密信息和數據進行偷取;
第三,缺乏網絡的可視性,企業的安全團隊對家庭網絡上的設備一無所知,因此沒有辦法很快的對安全威脅進行快速反應和處理。
上述三個問題,讓企業的核心數據和應用都面臨著巨大的安全威脅和風險,企業迫切的需要創新的安全保護方式,來應對分布式辦公模式帶來的安全挑戰。安全保護必須從設備層面提升到整個網絡層面,來提升員工的效率和生產力,以確保安全為前提。
