隨著物聯網技術的普及,越來越多的個人和家用設備開始聯網,像智能燈泡、心率監測儀、咖啡機,甚至寵物喂食器都出現在網絡設備的列表里,成為智能家具不可缺少的一部分。“萬物互聯帶給人們極大方便的同時,其隱藏著的安全威脅也不可忽視,因為黑客只需透過小型的物聯網設備,就能找到企業網絡的入口,發起勒索軟件等攻擊行為。”日前,在Palo Alto Networks(派拓網絡)物聯網安全媒體溝通會上,派拓網絡大中華區總裁陳文俊先生如是說。
Palo Alto Networks(派拓網絡)大中華區總裁 陳文俊
Palo Alto Networks(派拓網絡)中國區大客戶技術總監 張晨
Palo Alto Networks(派拓網絡)中國區大客戶技術總監張晨女士分享了2021年派拓網絡對全球近2000家企業針對IoT安全的調研報告。根據該報告,八成以上的中國大陸受訪者表示,其所在企業的物聯網安全事故在這一年來有所增加,100%的中國大陸受訪者都認為其企業的物聯網安全保護方法需要改進,27%的受訪者則表示需要徹底改革。其中,對風險評估(70%)、提供給安全團隊的物聯網設備上下文(64%)、裝備可見性和庫存(62%)以及政策執行和零信任控制(62%)等方面需求最大。
另外該報告還顯示,35%的中國大陸受訪者表示,其組織的物聯網設備連接的網絡與所屬企業主要設備及業務應用(如人力資源系統、電郵服務器、財務系統等)的網絡各自獨立運作。另有44%受訪者遵循了最佳實踐“網絡微分段”(Microsegmentation),在網絡中創建的嚴格控制之安全區域,以隔離物聯網設備并將它們與IT設備分開,防止黑客在網絡上橫向移動進行攻擊。
值得注意的是,根據報告,出現在企業網絡的物聯網設備,排名靠前的不乏一些智能家居設備,比如廚房小家電、監控器等,另外聯網的攝像機和照相機、可穿戴的醫療設備,也出現在很多企業網絡中。
萬物互聯時代到來,安全問題凸顯
陳文俊表示,目前在整個互聯互通大背景的影響下,各個國家地區、各個企業和行業,采用物聯網已經成為了企業推動業務發展的一個很關鍵的新興業態。數據顯示,僅在2021年,就有將近76億IoT設備連接到網絡,預計到2025年,大概會有接近420億的IoT設備出現。像智能燈泡、咖啡機、醫療穿戴設備,甚至電動車、自動駕駛的汽車,這些聯網的IoT設備,由于它們使用的芯片、操作系統往往沒有及時打補丁,而成為黑客攻擊的目標。
而在一個企業內部網絡上,根據派拓網絡的調查,有30%是IoT設備,同時98%的IoT設備的流量是不加密的。如果一個設備受到感染,就很容易橫向擴展到相連的設備,同時也很容易進入到企業內部網絡,影響企業核心數據與業務安全。
另外,自新冠疫情發生以來,分布式辦公或遠程辦公成為一個新常態。傳統的辦公室環境具有安全策略,所有的設備都是經過認證后連接到企業內部網絡,相對比較安全。但是員工居家辦公以后,家庭網絡與企業網絡其實存在于同一個環境中,家庭環境中同時有很多的IoT設備的存在,由于家庭網絡沒有托管安全服務,以及缺乏網絡分段與網絡可視性,所以很難保證整個網絡中物聯網設備的安全。
這就要求員工和雇主共同承擔保護網絡的責任,才能應對物聯網引發的安全挑戰。
“零信任”原則幫助企業防范物聯網威脅
企業和個人如何防范物聯網設備接入帶來的安全問題呢? 首先對于居家辦公的員工來說,張晨建議,要熟悉你的路由器,通過修改原始口令,把相應網絡加密的協議提升到更高的等級來保護路由器安全;對聯網設備進行定期查看與跟蹤,了解有哪些設備連接到了家庭網絡;使用雙重驗證以及啟用安全更新,不管是家用電腦,還是可穿戴設備、智能家居設施,以及光纖路由器等,都要定期執行安全更新。除此之外,建議將家庭網絡分段,即將辦公電腦單獨規劃到一個網段中,家用的一些其他智能家居設備單獨放在另外的網段。
對于企業來說,張晨建議,除了要全面了解與企業連接的所有物聯網設備,持續跟蹤已連接的設備外,對物聯網環境要遵循“零信任”原則。物聯網的安全實際上是整個IT架構中零信任不可缺失的一環,應該從IT決策者和規劃者的角度,把物聯網安全納入到整個零信任的架構中,同樣對它進行設備、用戶訪問權限和實時流量的安全檢查。
另外企業要利用有效的技術,對在物聯網設備上發現的安全漏洞、引起的安全攻擊進行及時阻止,要采取自動化、高效和智能的安全技術,對未知的安全威脅進行實時阻斷和快速響應。
派拓網絡通過兩種方式幫助保護物聯網設備
派拓網絡通過技術創新,可以從兩個大的層面上幫助企業和個人保護物聯網設備。
第一,將機器學習、人工智能技術與專利技術App-ID?和Device-ID?相結合,來更好地幫助企業和個人發現物聯網所要使用的應用,以及快速識別物聯網設備的標識,這樣能夠讓我們了解到聯網的物聯網設備,以及物聯網設備要用的應用協議和設備本身的端口號、版本號,實現對物聯網設備的清晰可見。
第二,為用戶物聯網、醫療物聯網和OT設備提供最準確和最深入的可見性,以有效地基線化它們的正常行為。建立基線模型,凡是超出這個模型之外的可疑狀態,進行重點監控。該解決方案使安全團隊能夠主動預防威脅、監控設備風險、檢測異常,進而不斷修正和強化安全實施策略。
最近,派拓網絡還推出了全新產品Okyo Garde?,這是一款通過高級聯網WiFi 6系統提供支持的企業級家庭網絡安全解決方案。Okyo Garde的設計旨在應對新混合工作環境,通過該產品,可以發現家庭里所有的聯網設備,包括公司用的設備和家庭用的設備,同時可以做網絡隔離。
同時Okyo Garde可以下載安全策略,有安全的管控,可以把“零信任”策略從企業內部延伸到家庭網絡。另外也可以通過手機上的移動程序APP來管控這個設備,如果發現家庭網絡受到一些攻擊,或者是受到惡意軟件的勒索、釣魚,可以通過該設備把這個鏈接斷掉。