保护IIoT安全,防火墙还有用吗?

来源 :计算机世界 | 被引量 : 0次 | 上传用户:zg29
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  在过去五年的大部分时间里,物联网(IoT)一直是网络和安全专业人员最为关注的。在工业物联网(IIoT)领域尤其如此。工业设备联网并不新鲜,但大多数IT人员并不熟悉,因为它是由运营技术(OT)部门管理的。不过,越来越多的企业领导人希望能够把OT和IT结合起来,从组合的数据集中获得更好的深度分析结果。
  虽然融合IT与OT并让工业物联网归IT管理有很多好处,但这对网络安全部门有着深远的影响,因为这会引入几种新的安全威胁。每个联网的端点如果被攻破,将创建一个能进入其他系统的后门。

内部防火墙对工业物联网来说是昂贵而复杂的选择


  保护工业物联网环境的一种方法是使用内部防火墙。这似乎是显而易见的选择,因为内部防火墙已经成为保护几乎所有东西的事实标准。然而,在工业物联网环境中,由于成本和复杂性问题,防火墙可能是最糟糕的选择。
  历史上,内部防火墙部署在数据流沿“南北”方向流动并通过单个入口/出口点(例如,核心交换机)的位置。而且,联网的设备都是已知的,并由IT部门进行管理。对于工业物联网,连接可以更加动态,数据流可以在设备之间以“东西”模式流动,绕过防火墙所在的位置。这意味着安全部门需要在每个可能的工业物联网连接点部署一个内部防火墙,然后跨数百个(可能是数千个)防火墙来管理策略和配置,而这会造成几乎无法管理的局面。
  为了更好地理解这个问题的严重性,我与专门研究工业物联网安全解决方案的Tempered网络公司总裁兼首席执行官Jeff Hussey进行了交流,他告诉我该公司的一位客戶曾尝试使用内部防火墙。在对所有的内部防火墙应部署在哪里做了全面的评估之后,该公司估计防火墙的总成本约为1亿美元。即使某家企业能负担得起,运营方面也会有更大的挑战。



  Hussey接着告诉我,医疗保健领域的一家客户试图使用防火墙规则、ACL、VLAN和VPN的组合来保护他们的环境,但是,正如他所说的,“复杂性扼杀了他们”,并且由于运营开销而无法完成任何事情。
  我还采访了国际控制系统网络安全协会(CS2AI)的创始人兼主席Derek Harp,他在工业物联网领域做了大量的工作。他介绍说,随着网络的不断发展,当前的工业物联网环境变得“越来越容易被穿透”,同时随着第三方需要获取内部系统的数据,也变得更加开放。再加上威胁犯罪分子高超的技能水平,很容易看出这绝不是网络安全部门所能应对的传统的网络安全战斗。

对于工业物联网,微分段技术优于内部防火墙


  安全专业人员不应使用内部防火墙,而应该转向工业物联网微分段技术。分段技术类似于VLAN和ACL的使用,但环境分离是在设备级而不是在网络层完成的,并使用规则进行管理。
  几年前的Target泄露事件就是一个很好的例子,零售商的暖通空调系统被攻破了,这就为进入销售点(PoS)系统留下了后门。传统的安全措施在高度静态的环境中非常有效,但是工业物联网是高度动态的,设备会经常性地连接和断开网络。

在设备层进行分段


  分段的好处是它在软件中完成,在设备连接层运行,所以策略能够应用于端点。例如,可以创建一项规则,其中所有医疗设备都在一个特定的段中,并且与其他联网的节点隔离开来。如果一台医疗设备移动了,策略也会随之改变,不需要重新配置。如果Target公司一直在使用工业物联网微分段技术,而暖通空调系统和销售点系统位于不同的段(从最佳实践的角度来看,它们应该是分开的),那么最糟糕的情况不过是商店变得温度过高。
  在数据中心,微分段技术已经被用来保护在虚拟机和容器之间流动的横向数据流。网络安全部门现在应该考虑将该技术扩展应用到更广泛的网络,第一种应用情形便是保护工业物联网端点。这将有利于企业推进数字化转型计划,而不会给企业带来风险。
  Zeus Kerravala是ZK Research的创始人和首席分析师。
  原文网址
  https://www.networkworld.com/article/3437956/to-secure-industrial-iot-use-segmentation-instead-of-firewalls.html
其他文献
和许多大型企业一样,金融服务巨头Visa也采用了容器化技术,该技术使得公司能够从传统的单体应用程序迁移到基于微服务的应用程序架构,从而更易于在云基础设施上大规模维护、更新和部署。尽管如此,但是将应用程序变成微服务也面临一个挑战,即要确保容器托管的各个部分得到了恰当的监控并保护其免受攻击。  Visa的安全团队没有部署商业解决方案,也没有针对自己的环境调整资源,而是回到了基础,创建了自己的连续监控解
期刊
据中国卫星导航系统管理办公室消息,12月16日15时22分,我国在西昌卫星发射中心用长征三号乙运载火箭以“一箭双星”方式成功发射第52、53颗北斗导航卫星。  至此,所有中圆地球轨道北斗卫星全部发射完毕,标志着北斗三号全球系统核心星座部署完成,将进一步提升系统服务性能和用户体验,为实现全球组网奠定坚实基础。  目前,北斗三號全球系统组网已进入决战决胜的冲刺阶段,按计划,明年上半年将提前完成全部组网
期刊
据德勤的研究,很显然,成功的首席信息官不能再仅仅充当值得信赖的运营伙伴,等待与其他业务部门就其计划和运营达成一致。他们不能仅仅是技术专家。他们应该成为“前任老板推荐给我开展业务的人”。问题是首席信息官及其部门在转型过程中的定位是什么。以下是我最近向每周CIOChat推特聊天组提出的问题。首席信息官们是否应该把自己的部门打造成业务领导?  首席信息官说,这个问题的简单答案是肯定的。他们接着说,事实上
期刊
安全形势永远都不是静态的。更聪明的网络犯罪分子,不断发展的恶意软件,更多的法规以及更高的财务和国家安全风险,迫使组织及其安全团队不断调整优先等级。  在对全球528名安全专业人员进行了调查后,IDG于今年下半年发布了《2019年安全优先等级研究》。该研究报告涵盖了网络安全支出、报告体系、技術采用以及所有这些背后的驱动因素,可帮助我们确定这些优先等级在未来12个月的变化情况。以下是该研究中主要内容和
期刊
在经过多年的概念验证测试及试点项目之后,部署区块链的企业应将重点转向把分布式账本技术(DLT)与遗留数据系统的集成上,同时确保它们能够与其他外部区块链进行通信。  市场研究机构Forrester在其《2020年预测》中着重指出了新兴的电子账本技术面临的若干挑战,并给出了这一建议。  Forrester认为,企业区块链领域基本上已经完成了由从非理性繁荣到现实评估的转变。  报告称,“尽管我们仍然对D
期刊
尽管区块链被大力宣传,但是它们目前尚未在企业中成为主流。不过,随着该技术在可信赖交易中的声誉渐渐得到了IT领导者的认可,这种情况也正在逐渐发生改变。  区块链是用于记录交易的共享数字分类账本。区块链网络参与者之间的每笔交易都存储在被称之为区块的记录中,该记录经过了数字签名以确保真实性并就交易状态达成共识。首席信息官对区块链感到兴奋,因为它们能够在企业之间扩展数字信任。  例如,由区块链支持的供应链
期刊
当著名科幻小说作家William Gibson说:“未来就在这里——只是发展不均衡”时,他其实指的就是数字化企业的现状。  尽管一些企业已经达到了超高速、超规模、超连接的境界,但很多企业仍在苦苦应对孤立的数字化转型计划,备受竞争和市场压力的打击。  在数字时代,首席信息官们还没有迎来“算总账的一年”,但随着竞争对手加快推进其数字化工作,留给采取行动的时间不多了。尽管如此,首席信息官们仍然可以而且必
期刊
2017年,Doug Saunders以首席信息官的身份加入Advanced Disposal时,他很快了解到,这家价值16亿美元的废物管理供应商在“数字领域”的技术应用是非常分散的,这包括销售、营销和其他部门。  Saunders回忆说:“谁喊得最响,谁得到的就最多。首席执行官Richard Burke对进展缓慢一筹莫展。”  很多首席执行官总是不断遭受挫折,他们的企业已经推出了旨在进行业务变革
期刊
研究人员称,目前的无线技术(例如Wi-Fi)无法为即将在未来几年内投入使用的数以十亿计的物联网(IoT)传感器和网络提供足够的支持。未来需要更高的速度、更高的效率和更高的带宽。另外,设备的成本必须要比现有设备更加便宜,包括即将推出的5G设备。  为了解决这个问题,加拿大滑铁卢大学的科学家正在开发简化版的毫米波技術。  研究人员在一篇文章中宣称他们开发成功一项新的名为mmX的低功耗、低成本的5G网络
期刊
工信部產业政策与法规司司长许科敏近日在国务院联防联控机制新闻发布会上表示,目前,电子信息行业平均复岗率已达95%。  从重点企业来看,中芯国际、京东方、华星光电等企业复岗率已超过90%;华为已全面复工,复产率稳定在90%;富士康27个主要厂区已复工81万人,整体复工率93.7%,近百家核心配套企业都已复工复产,带动上下游1万余家中小企业复工复产,稳定了全球供应链。从重大项目来看,长江存储、长鑫、华
期刊