不断发展的保护企业物联网的选项
2016年10月,我的专栏讨论摩尔定律和梅特卡夫定律对物联网的影响,基本上说明物联网是你的未来,因为定律是这么说的。几十年来,摩尔定律已经准确地预测了新型更强大设备的稳步崛起路线,这在本质上已经被所有为物联网提供动力的新型传感器、设备和其他东西所证实。梅特卡夫定律预测,网络的价值与网络内连接的数量有关——它直接与物联网解决方案中事物、设备、数据和应用程序产生的环境和数据的价值有关。然而,摩尔定律和梅特卡夫定律对物联网的影响是否存在负面影响?这些消极因素是否大于积极因素?是的。更多的连接代表了收集新类型数据的潜力,将以前难以比较的数据集关联起来,并利用大量的上下文信息优化用户和设备体验。
相反,做这些新的连接,设备和事物还代表更广泛更具吸引力的攻击面,难以包含和安全?不幸的是,我们已经看到了这种更广泛的攻击表面的潜力禁止抨击攻击中使用的设备的前所未有的分布式拒绝服务(DDOS)攻击被分类为泄露物联网设备。这些攻击请注意,未受保护的物联网设备可能会导致重大中断对于互联网的基础设施,并且如果存在许多问题安全风险对于互联网的互联网抵消了好处。
在我脑海中,没有疑问,更大数量的较小,便携和更强大的设备,使其更容易与彼此通信的东西,应用,数据和服务更容易提高安全风险潜力。这种趋势在很多方面都有类似的方式来如何爆炸增加了安全风险的数量和类型一个面临的组织。使用BYOD,更多的设备从传统的网络周边连接到外部不断发展的安全方法以及与事物互联网,安全方法也必须进化。但怎么样?这种演变的物联网安全范例包括许多元素,一些我们甚至没有想到的元素,并且该方法需要根据物联网用例而变化。保护在公司网络中使用的IOT设备比保护您的公共网站的场景非常不同。要捕捉某些机制安全策略应该发展的一般要素,我坐在我的一位同事 - 杰弗里·桑德森,凯特里克的高级总监杰弗里·桑德森,并问他对IoT安全如何进化的意见企业。这是看我们的问答:
保护IOT:不断变化的安全外围
克里斯:杰夫,随着最近的DDOS攻击利用受损的IOT设备所示,物联网有可能增加企业的攻击面。从这个角度来看,组织应该如何与IOT的思想发展或改变其安全策略?
杰夫:首先,定义有效的安全外围极大地减少了恶意攻击的风险。我们应该非常清楚。如果我们考虑基于Web的服务的演变,那么原始安全的SSL会话将直接在Web应用程序上自然地终止 - 这意味着应用程序本身将处理身份验证,授权和会话解密 - 这有效地分流前沿直接进入应用程序域。我们看到了传统的作用应用程序交付控制器(ADC)防火墙适应提高效率和增强的保护。有效地,它提供了一个安全周长远离“敏感”应用层的步骤,并使ADC /防火墙成为最终的仲裁器,以便会话到应用程序。此配置允许在应用程序访问中更精细的粒度以及检测和防止恶意攻击。
克丽丝:有道理。我记得当组织真正开始为远程工作者开放他们的网络时,缩小你的范围到应用程序本身的想法真正开始腾飞。基本上,一种“不相信任何人,保护你的通信安全,消除你的网络警戒”的方法。对于物联网,这种方法将如何改变?
杰夫:同样的进化也在上演。例外的是,物联网引入了一些新组件来应对,这些新组件为您的整体安全策略提供了新的角色。我想重点讨论的一个例子是物联网消息代理。物联网物联网message broker是重要,因为大部分是什么构成了一个物联网解决方案之间存在的沟通和交谈的所有传感器、设备和应用程序,这代理帮助管理消息的发送和接收所有这些不同的物联网解决方案组件。通常,物联网消息代理位于应用程序/云服务前面的一层,由于它位于应用程序前面,许多组织也选择使用这些代理来提供安全边界(终止SSL、处理身份验证等)。不过,让我们在这里非常清楚地说明一下——这些代理解决方案并不是设计来作为安全边界的。将这些能力推给它们只是为了将早期物联网服务推向市场而做出的“架构便利性”决定。物联网消息代理有足够的人手来完成其日常工作,并且认为它是实现安全边界的最佳场所是不现实的。
克里斯:你是否暗示了一个完全新的东西,然后在某个IOT世界中提供这一层周边安全?
杰夫:不一定。我相信应用交付控制器的角色将演变为提供一个能够管理和保护物联网事件流量的安全层。这一点很重要,因为物联网流量不像传统的应用程序流量(例如web/HTTP)。首先,我们可能会讨论更多的会议——多得多。其次,物联网会话不像传统的web/应用程序会话。例如,当下载一个网页时,打开了多个TCP会话来呈现网页内容(文本、图像、视频等),这些会话只持续需要的时间(快速打开和关闭)。而物联网会话则不是这样。物联网会话可以持续更长的时间——长得多,几小时、几天、几周……物联网事务的性质也有很大不同。与传统的由客户端或设备发起对话的web应用模型不同(我们称之为“客户-拉”模式),物联网在本质上是非常“推”和“拉”的。因此,这不只是事物或设备在需要的时候“拉动”内容,而是应用程序本身将内容“推送”到事物和设备上。 All this means you can’t simply repurpose an application delivery controller into something that can control and manage IoT events. Enabling your existing ADC with a smattering of new IoT protocols is also not enough. Optimizing the underlying platform architecture to handle IoT workloads is a must, then optimizing how the platform handles security functions like authenticating a much wider range of devices and things so they can exchange information with your applications is also a must.
保护IOT:保护设备?或保护应用程序?
克里斯:但是如何保护物联网设备本身呢?组织是否应该把更多的注意力放在保护应用程序和通信上?还是更注意保护设备?
杰夫:它不是/或或者。两个方面都非常重要,但两种挑战都存在不同的挑战。确保物理安全性可以与网络安全一样多。然而,完全清楚的是,必须经过身份验证以连接到物联网服务。如上所述,验证设备是在与服务交互的能力的关键第一步。鉴于这种情况的频谱,这改变了当今设备连接到更复杂的环境中的稍微受控场景,并且需要改变许多当前方法的思考。
克里斯:所以,它听起来像是你所说的那样的基础,但处理不同类型的设备和协议将需要当前方法和解决方案的演变。对于这种演变,分析的重要性是作为物联网安全战略的一部分?
杰夫:而安全外围本身如果弱点暴露,那么机器学习应该防止任何恶意的尝试“闯入”,那么机器学习应该进行实时纠正措施以消除这种曝光。这可能像在飞行中更换配置或以暂时退役服务一样精致。但是,让我们在这里完全清楚,最初不会有一个尺寸适合所有解决方案。返回到我们上面讨论的设备与交通保障的主题,会限制保护事物从互联网直接攻击的能力。然而,可以完成的是,来自我们上面提到的事件交付控制概念的分析与分析的分析的相关性。这些相关性允许分析/机器学习功能帮助建立在本身的异常行为,然后迅速纠正措施对抗受损的东西。
保护IOT:是DDOS攻击风险的企业IOT吗?
克里斯:好的,让我们回到我们开始的地方。最近新闻中的DDoS攻击是针对公共互联网的设备攻击公共站点。这种类型的攻击会在多大程度上扩展到企业物联网(其中许多设备将位于私有网络)?
杰夫:这最近的袭击考虑到IOT服务部署的人来说,应该是一个唤醒电话。DDOS攻击将仍将是坏人的主要工具。减少这种情况发生在您的服务的影响潜力的唯一方法是采取严重建立上面讨论的安全周长类型的概念,我的意思是非常认真的。在一天结束时,没有什么是无可救药的。然而,您可以通过使其更加难以渗透,从而大大降低您的服务成为目标的风险。如果有人设法揭露一些缺陷,请确保您可以在成为真正的威胁之前签署这种行为,并快速做一些关于它的事情 - 理想情况下没有人为干预。政策创造自动化和管理身份和访问,而不是使用简单的密码作为身份验证,对降低风险至关重要。
获得物联网:总结
为了包装我们的讨论,拿走没有一个尺寸的所有解决方案非常重要,今天许多人试图将太多推动到没有专为安全性的工具上,就像IoT消息经纪人一样。虽然防火墙和应用程序传递控制器是可以在应用程序周长上有所帮助的工具,但这些工具需要进化以更加专注于特定于IOT的事件。这种进化包括更强调的机器学习和分析允许组织能够快速学习和响应IoT安全威胁。技术的演变不一定是可怕的。我们认为,在2017年,我们将看到重点增加,并为机构提供许多新的和改进的组织解决方案。
所有IOT议程网络贡献者负责其帖子的内容和准确性。意见是作者,不一定能够传达物联盟议程的思想。