frenta——Fotolia
思科物联网威胁防御旨在解决物联网安全问题
凭借成熟、经验丰富和可靠的安全产品组合,思科物联网威胁防御已准备好解决物联网安全问题。
上周在伦敦举行的思科物联网世界论坛上,首席执行官查克·罗宾斯在他的主题演讲中讨论了我们是如何处在连接一切事物的悬崖上,包括许多我们未曾想到的事物。据估计,到2020年,将有100亿到300亿的新设备联网。虽然这似乎是一个很大的范围,但在我看来,实际数字并不重要。事实是,在未来十年,企业需要为连接到公司网络的新端点的大规模浪潮做好准备。
对于网络操作来说,将这么多设备连接到网络会带来一些重大挑战最大的问题是安全问题。2016年,ZK Research调查了网络经理们在物联网方面最大的挑战是什么。不出所料,安全问题是目前最多的回应。
保护物联网设备为企业带来了许多有趣的挑战,其中最重要的是大多数物联网设备并不是由IT组织本身部署的。在同一项调查中,高达50%的网络经理表示,他们“根本不自信”或对自己知道的事情“缺乏信心”什么物联网设备连接到网络中。安全领域有一条公理:“你无法保护你看不见的东西。”对于很多企业来说,看不见它们的物联网端点存在重大安全漏洞。
此外,即使它知道物联网设备,它们也可以很难保证。大多数传统的连接端点被设计为至少具有基本的安全性。许多物联网端点没有能力保护自己或在其上加载安全软件。此外,一些旧的物联网设备仍在运行Windows 95等操作系统,这些系统充满了已知的漏洞,并嵌入了“password”等密码,因此它们很容易被攻破。
物联网漏洞的后果可能比设备本身更重要。举个例子,发生了一起被广泛报道的零售违规事件,因为HVAC系统被破坏了该公司为销售点系统创建了一个后门。大多数物联网设备都不在下一代防火墙后面,所以黑客会将其作为进入公司网络的后门。
这就是为什么不仅要确保物联网设备的安全,而且要确保终端没有能力与其他不必要的网络通信,这一点至关重要。例如,在一家医院中,客户网络应该与患者设备所在的网络完全隔离,该网络应该与存储电子记录的网络分离。通常情况并非如此,因为使用虚拟局域网和访问控制列表等传统网络方法建立多个安全区域可能是一个复杂而耗时的过程。
介绍思科物联网威胁防御
在物联网世界论坛上,该公司宣布了思科物联网威胁防御,以帮助组织应对保护物联网设备的挑战。实际上,服务更像是一个架构,它汇集了许多思科安全技术并为客户提供了一种规范的方式来部署它们。思科物联网威胁防御包括的产品包括:
- TrustSec用于网络分割;
- 用于网络行为分析的Stealthwatch;
- 身份服务引擎为国防的可见性;
- AnyConnect远程访问;
- 云安全保护伞;
- 先进的反恶意软件保护;和
- 下一代防火墙的火力。
符合Internet工程任务组制造商使用说明(MUD)规范的设备提供了丰富的信息,思科可以使用该规范自动安装设备,然后将其放置在安全的TrustSec区域,使其处于完全隔离的网络中,这样网络罪犯就无法染指它了。
旧的终端,或者那些不符合MUD的终端,构成了一个挑战,因为思科不知道设备是什么或者它的目的是什么。这就是思科产品的真正亮点所在,这也是该公司可以利用的网络异常检测推断设备是什么,是否有漏洞。以联网的饮料机为例。正常操作是机器每天向制造商发送一次库存更新。如果在某个时刻它试图访问销售点系统或会计服务器,人们可以将此解释为违反,该设备可以被隔离以进行进一步调查。
这么多并不能阻止缺口,但它可以将爆炸半径降到最小到那个特定的装置而不是让威胁扩散到整个公司。思科的优势在于,它的设备通常部署在大多数企业的所有地方,因此,客户部署的越多,思科看到的就越多——也就越有可能迅速发现漏洞,将物联网端点放置在安全的地方。
此外,由于思科物联网威胁防御是由现有产品组成的,它们是成熟的、经验丰富的和可靠的,所以客户不必担心它们的有效性。类似于思科在IP语音上的做法,架构方法需要大量的猜测工作,而不必为了解决一个问题而部署多种技术。
物联网时代已经到来,网络和安全团队需要做好准备,处理数十亿即将投入网络的设备——以及最要紧的必须是安全。物联网威胁防御不会解决所有的安全问题,也不会阻止所有的破坏,但它给组织一个更好的机会来保护他们的物联网部署,而不是试图从头拼凑一个服务。
