物聯(lián)網將如何改變你的威脅模型:4個關鍵的考慮因素
把更多的物聯(lián)網設備連接到您的網絡,將增加您的攻擊面,降低對潛在威脅的可見性,并需要在IT和OT(運營技術)之間進行更大規(guī)模的協(xié)調。
業(yè)務和運營環(huán)境中的物聯(lián)網系統(tǒng)增加了攻擊面,并給許多企業(yè)的關鍵數(shù)據和系統(tǒng)的保密性、完整性和可用性帶來了新的風險。
安全主管需要更新其組織的威脅概況,以說明這些風險,并實施一個正式的計劃來主動管理這些風險。否則,它們就有可能成為利用脆弱的物聯(lián)網環(huán)境進行間諜、竊取數(shù)據、發(fā)起分布式拒絕服務(DDoS)攻擊、提升權限和以其他方式干擾行動的對手的軟目標,分析人士說。
“物聯(lián)網設備具有獨特的風險,因為企業(yè)的IT和OT網絡上通常會有數(shù)百個此類設備,每個都擴大了攻擊面,增加了組織的風險,”Booz Allen Hamilton的首席工程師兼高級助理Kyle Miller表示。
近年來,互聯(lián)網連接設備在傳統(tǒng)IT和運營環(huán)境中得到了激增。那些希望將自己改造成互聯(lián)企業(yè)的組織已經在工廠、設備、現(xiàn)場和其他地方都部署了物聯(lián)網傳感器和設備,這導致了大規(guī)模的數(shù)據洪流。
在企業(yè)內部,從設施管理和安全監(jiān)控系統(tǒng)到打印機和照明系統(tǒng)的一切都連接到了互聯(lián)網。分析人士預計,在未來幾年,企業(yè)將部署數(shù)十億的物聯(lián)網設備,以支持無數(shù)的用例。這將迫使組織在開發(fā)威脅模型時重新考慮以下因素。
有哪些關于物聯(lián)網的擴散控制措施?
埃森哲全球網絡安全業(yè)務北美網絡防御主管Robert Boyce表示,企業(yè)內部的很多物聯(lián)網使用都是以增量的、非戰(zhàn)略性的方式進行的,很少受到IT或安全的監(jiān)管。“許多組織在部署物聯(lián)網設備時沒有經過正式的治理流程,”他說。因此,很少有人對物聯(lián)網資產的前景和相關風險有清晰的認識。從威脅的角度來看,小型物聯(lián)網部署有時完全被忽視了。
例如,在企業(yè)設置中使用的許多設備,包括IP攝像頭、數(shù)字助理和其他智能設備,都會直接連接到internet。“很多這樣的設備都可以在家里進行升級,”Boyce說。“很多時候,甚至是在國外。”
同樣,DENIM GROUP的首席技術官DAN CORNELL表示,當員工和高管作為一個團隊或個人與語音激活的虛擬助理等技術進行互動時,數(shù)據保密性和隱私也可能會成為重要問題。
在會議室或執(zhí)行辦公室發(fā)生的對話可能涉及被發(fā)送到設備制造商云端的特權和受保護的信息,Cornell說。諸如機密數(shù)據是存儲在本地還是存儲在云中、數(shù)據的傳輸位置以及可追蹤性等因素,對于理解和減輕威脅都是至關重要的,他說。
通過物聯(lián)網系統(tǒng)安全的發(fā)送數(shù)據則是另一個挑戰(zhàn),因為很大一部分流量沒有加密。組織也可能會低估在沒有正式的威脅建模的情況下圍繞設備識別與認證、供應與維護的風險,Cornell說。
這些問題在運營技術和工業(yè)環(huán)境中的后果遠遠大于在IT網絡中的后果。對物聯(lián)網漏洞的攻擊或由這些環(huán)境中的弱點導致的安全故障可能會導致物理損害和與安全相關的后果。
越來越多的組織正在將智能設備與新舊工業(yè)控制系統(tǒng)(ICS)和其他運營技術相連接。關鍵的運營系統(tǒng)和網絡曾經被安全地從外部世界空投出去,而現(xiàn)在則開放了互聯(lián)網接入,因此更容易受到攻擊。在運營系統(tǒng)很少擴展到操作環(huán)境之外的地方,業(yè)務用戶、供應商和其他人現(xiàn)在都將可以訪問它們了。
風險增加的還有第三方制造商,他們將新的訪問功能放入了關鍵的工業(yè)控制系統(tǒng),然后將其進行鎖定,這樣其他人就無法更新它們了。但埃森哲的Boyce表示,這使得許多組織處于了這樣一種境地,即第三方將與運營環(huán)境有著直接和永久的聯(lián)系。
你對物聯(lián)網網絡的可見性有多高?
可見性是理解和建模物聯(lián)網環(huán)境威脅的關鍵,Cornell說。為了降低物聯(lián)網的風險,你需要了解你的資產,并以系統(tǒng)和有計劃的方式識別與它們相關的威脅。這涉及到需要識別某種特定物聯(lián)網資產可能成為安全負債的所有的不同方式,然后應用某種措施來降低發(fā)生這種情況的可能性,他說。這些措施可以包括刪除或禁用有風險的特性、部署操作控制或以不同的方式來實現(xiàn)技術。
在建立威脅模型時,不要孤立地看待物聯(lián)網設備,尤其是在工業(yè)和運營環(huán)境下,德勤風險與財務咨詢公司的網絡主管Mark Nicholson說。在評估與物聯(lián)網相關的威脅時,組織需要考慮這些設備可能存在的更廣泛的生態(tài)系統(tǒng)。這意味著要去研究這些設備將如何相互連接,如何與其他設備、服務器和主機相連接,他說。“如果你只關注設備的安全性,而不了解設備如何與環(huán)境和數(shù)據的其他部分進行交互,你可能也會漏掉一些信息,”他說。
獲得進行威脅建模所需的可見性是很困難的。物聯(lián)網設備的多樣性、缺乏標準架構以及同一類型設備之間安全特性的不一致,都給威脅建模帶來了挑戰(zhàn)。“物聯(lián)網設備和系統(tǒng)有著各種各樣的風格,并不是所有的設計或建造都具有同等程度的網絡安全健壯性,”Booz Allen Hamilton公司的Miller說。許多物聯(lián)網設備使用的是簡化的、實時的或遺留的操作系統(tǒng)和軟件框架,這些操作系統(tǒng)和軟件框架不支持與傳統(tǒng)IT系統(tǒng)相同的安全保護級別。由于這些原因,在企業(yè)環(huán)境中實現(xiàn)物聯(lián)網系統(tǒng)的可見性將變得更具挑戰(zhàn)性,他說。
“大多數(shù)公司應該采取的第一步是準確了解物聯(lián)網設備在其網絡中已經部署的情況,”Miller說。“這往往是我們客戶最大的盲點之一,因為它涉及到資產庫存。”
組織可以使用多種的主動和被動網絡和無線發(fā)現(xiàn)工具來幫助發(fā)現(xiàn)物聯(lián)網資產,Miller說。一旦一個組織了解了他們的物聯(lián)網資產,他們就可以開始實施安全控制了,如網絡隔離和威脅監(jiān)控,以幫助保護他們。
在采購過程中如何審查設備安全性?
Denim Group的Cornell表示,對于未來的部署,最好是從采購開始。采購物聯(lián)網設備的企業(yè)能夠要求供應商在其設備中實施必要的安全功能。采購過程是進行威脅建模和評估的好時機,可以用來識別計劃中的物聯(lián)網部署的潛在風險和漏洞,他說。“在完成采購流程之前,你會有更大的影響力來影響供應商的行為,”而不是在此之后。
如果你計劃使用的物聯(lián)網設備是面向消費者的,那么供應商就不太可能有銷售渠道來向企業(yè)銷售或支持企業(yè)級的安全需求。因此,企業(yè)需要謹慎地對待設備的來源,Cornell說。
為了充分了解合同中的風險并建立防范措施,物聯(lián)網采購需要與安全組織合作進行。要獲得物聯(lián)網環(huán)境中所有組件的全面材料清單和審計權,德勤的Nicholson說。組織需要了解這些組件來自哪里,以及他們可能打算使用的任何物聯(lián)網軟件的出處。
如果第三方將管理你的物聯(lián)網設備,特別是工業(yè)和OT網絡中的設備,那么合同也需要討論供應商或承包商對任何安全事故的責任,Boyce補充說。“我還建議對物理設備本身進行安全審查,”以確保它能夠滿足安全要求,他說。
IT和OT如何就物聯(lián)網安全進行溝通?
降低物聯(lián)網風險最關鍵的一步是讓IT安全組織也參與進來,安全分析師表示。通常,那些正在增加物聯(lián)網足跡的組織,特別是在工業(yè)方面的,幾乎沒有意識到潛在的安全影響。
雖然一些組織已經開始在他們的ICS環(huán)境中構建安全功能了,但是在許多情況下,OT和IT端還是很少互相通信,Boyce說。盡管存在巨大的安全隱患,但這兩個組織之間很少進行協(xié)調。OT組常常擔心IT安全團隊會在沒有完全了解其潛在影響的情況下在環(huán)境中引入控制。
“你不能再單獨的經營這些組織了,”Boyce說。“必須有持續(xù)的交叉教育。”