信息安全
alphaspirit——Fotolia
通过设备意识对抗物联网的危险
可见性对于抵消事物互联网危险而言至关重要。了解如何发现IoT设备触摸您的网络以及它们可能姿势的威胁。
物联网——危险与利益并存——正在改变企业的工作方式,也在改变企业对it安全的思考方式。迄今为止,资讯保安政策均以资讯的保密性、完整性和可用性(美国中央情报局模型,但随着控制系统和日常物品开始与其他系统连接,并与物理世界交互,安全性、可靠性和弹性也必须被视为安全的关键组成部分。如果没有它们,针对能源、医疗和交通等关键部门的网络物理攻击不仅会导致声誉和利润受损,还会造成环境破坏和生命损失,其规模堪比一场重大自然灾害。能源控制系统、智能建筑和医院设备等设备被发现缺乏保护,往往甚至缺乏最基本的隐私和安全控制,这使得它们很容易成为世界各地流氓的目标。
IT安全的主要原则之一是了解哪些资产存在,以便构建适当的安全策略来保护它们。然而,应对物联网危险需要对成百上千的物联网设备进行编目、评估和分类,这些设备通常位于企业认可的物理边界之外,这是一个巨大的挑战。
物联网设备缺乏一套常见的合规性要求,以及许多运行非共同维护操作系统和专有协议。标准化设备到设备沟通和发现的两项大举措一直是Allseen Alliance的AllJoyn框架和开放的连接基础的IoTirity。OCF现在已经与Allseen合并创建一个IOT发现机构,但它仍然是Google推广的令人困惑的舞台编织作为IOT设备的通信平台。希望出现一个事实上的标准,涵盖了设备到设备的通信和发现,需要一致地实现身份,身份验证和安全控制。在此之前,企业将不得不努力工作,甚至即使即兴,控制他们的物联网设备并防止影子物联网对企业的巨大威胁而不是阴影它。此功能介绍其他安全专业人员如何努力创建IoT设备发现流程以及组织可能在其网络中使用哪种类型的工具来查找和安全的IOT设备他们不知道。
柜台危险互联网的工具
虽然这太快了在那里有任何行业最佳做法IoT设备发现在美国,有一些免费工具——其中一些是开源的——可以识别并帮助创建一个能够连接到网络或其他设备的设备清单。Nmap一直是一个流行的网络发现和存储工具。它使用原始IP包扫描网络上的活主机;马桶有时扫描大型IP地址空间时有时是更好的选择,尽管不如那么准确。Subbrute是在PEN测试的发现阶段期间常用的子域枚举工具,以查找新主机,通常检测其分辨率被有意阻止的子域。子晶体的结果可以进入NMAP扫描,以确保不留下网络的一部分。然后可以使用诸如OpenVAS漏洞扫描仪等工具来检测基于NMAP库存的缺陷。
IOT显然有恶意码维度,antimalware供应商一直在解决问题。 卡梅伦营研究员,ESET.
在寻找物联网设备时,这种类型的传统资产扫描的局限性是,尽管它可以发现设备,但可能无法识别它们。这就是为什么ShodanCensys使用设备返回的横幅来识别他们。许多物联网设备在一个横幅中广播关于它们自己的信息,这是在建立到开放端口的连接期间发送的元数据。这些数据由Shodan和Censys进行索引,以生成一个更有意义的物联网设备数据库,而Shodan exploit数据库可用于在网络搜索中发现与物联网设备相关的漏洞。幕后的黑客MiraiBashlite恶意软件通过不断搜索互联网上受工厂默认保护的物联网设备或硬编码的用户名和密码来创建物联网僵尸网络,基本上实现了这一过程的自动化。作为回应,Rapid7发布了IoTSeeker来帮助网络管理员识别仍然使用出厂设置和默认凭据的设备。
当然,横幅可以伪造,这些服务主要来自众所周知的端口,但许多物联网使用非标准端口运行专有协议。Pwnie Express'2016年“恶物网”报道发现大多数安全专业人员都没有监控或检测较少常见的无线电频率和偏离网络IOT设备的位置:近90%看不到蓝牙设备或监视器4G LTE设备,56%无法监控 -网络IOT设备实时。
需要一系列工具
加里海参物联网设备的发现永远不会是一次性的任务。它需要一系列工具来完成彻底的扫描和评估潜在的威胁。加里·海斯利普(Gary Hayslip)是圣迭戈市的首席信息官,也是《CISO桌面参考指南,用途工具与Tenable网络安全套件一样扫描城市的网络。他还使用Cyber Flum Analytics“专门扫描,在我们的网络上安装的IOT / SCADA / ICS设备上的地图和使用行为分析。”在此之上,他使用packetsled和cyphort监控协议和数据流,以公开未知的设备或可疑流量。
Cyclance Inc.,Cybersecurity Company使用Bastille,软件作为服务(SaaS),以发现可用于提取敏感信息的封面听力设备和流氓接入点。Bastille监控和详细介绍了发射无线电信号的设备的威胁功能 - 例如在企业的射频(RF)空域中的Wi-Fi,蜂窝,无线加密窗和其他物联网传播。乔恩·米勒的主要研究官员说:“防火墙不会保护你射频为基础而巴士底狱实际上能够识别出我们网络中的一堆易受攻击的射频设备,我们能够四处走动,替换一切。”
诺维奇大学选择了由Boston-Bwnie Express制作的另一个SaaS工具,以识别和警报跨有线,无线和蓝牙连接设备的任何恶意活动超级碗的实时。“对于要监控的五个关键网络,我们有一个很重要的是,我们有一个平台可以快速向我们展示我们立即所需的威胁。与PWNIE,我们能够看到超级碗50和运营网络的完整威胁威胁。诺威治大学的战略伙伴关系副总裁Phil Susmann表示,重点响应活动。“
分类,配置,识别设备
在网络上发现的物联网设备需要分类和盘点,就像任何其他IT资产一样;分类有助于确定适合端点类型的安全控制,以及危及该类型的固有风险。某种形式的配置管理数据库(CMDB.)可以帮助跟踪和管理IOT设备的生命周期,但随着海参指出,“IoT配置管理仍然相对较新。我们与我们的供应商协议来管理设备并在服务级别的时间范围内安装安全补丁协议指定。
管理员当然需要确保他们使用的任何CMDB能够容纳潜在的数千个附加设备以及它们之间的连接性和关系。ManageEngine的AssetExplorer CMDB可以存储资产之间的依赖关系和连接,而i-doit是一个基于web的CMDB,用于记录IT基础设施。IBM沃森物联网平台提供各种特定于行业的资产管理解决方案。
事情互联网危险
在识别设备造成的物联网危险时,设备的多样性意味着企业需要进行定制化的风险评估(通常依赖于第三方专家),以确定风险是什么,以及如何最好地控制风险。圣迭戈市使用AttackIQ执行攻击场景测试,以纠正已安装解决方案带来的风险。Hayslip解释说:“我们有内部测试工具,但我们也会外包给第三方供应商提供笔测试服务。与工业物联网相关的许多风险问题仍然是相对较新的问题,所以我可以向拥有这些技能的人寻求帮助和合作。”
无论是成熟的还是初创的安全供应商都在寻找帮助企业保护物联网的方法。总部位于斯洛伐克的安全软件公司ESET的研究员卡梅伦·坎普(Cameron Camp)解释说:“物联网显然存在恶意代码,反恶意软件供应商已经在解决这个问题一段时间了。”“例如,由于路由器处理物联网设备的大量连接,我们已经有了解决路由器问题的安全套件,你可以期待看到嵌入物联网生态圈更多点的反恶意软件技术不断向前发展。”
物联网的危险大多是制造商需要解决的问题。物联网联盟和联盟可能需要一段时间才能制定出最佳实践和技术标准,要求从一开始就内置安全性。海斯利普说:“目前有各种协议和专有软件套件在物联网领域运行。我很乐意看到物联网围绕一些以安全性为主要组成部分的相互通信协议进行巩固。我认为,这将使行业更容易提供高质量、安全的产品。”
在就如何最好地保护设备及其创建和传输的数据达成共识之前,早期的使用者必须格外小心地选择他们的合作伙伴,因为在许多情况下,用户将依赖于设备的安全性,而不是外围和端点防御。当然,传统的安全最佳实践仍将适用。例如,“微细分,使物联网处于一个独立的社区,因此数据流是独立的,这使得从可见性的角度更容易监控和管理,”是帮助haysly在晚上更容易入睡的关键安全控制。
物联网的快速发展和物联网的快速而前所未有的扩张意味着企业需要完全了解什么物联网设备正在使用他们的网络。为此,一个良好的第一步可能是检查互联网安全中心的“有效网络防御的关键安全控制:物联网安全”报告。安全团队还必须知道这些物联网设备具有哪些功能以及他们介绍的漏洞和威胁。对于每个人来说,它仍然是一个陡峭的学习曲线,但是通过使用工具,技术和第三方专业知识的组合,企业可以开始减少许多物联网设备的风险。
