本月早些时候,我在迪拜(迪拜)上参加了思科的东西世界论坛(披露:思科是ZK Research的客户)。我喜欢这个活动的一件事是它展示了许多不同垂直行业的各种用例。有些人在一个想法中,有些是早期阶段,有些完全部署。虽然许多用例都有很大差异,但有一个共性,这是对安全的需求。
事情互联网(物联网)对安全和IT专业人士带来了相当不同的挑战。即使大多数IT设备都有一些基本的安全功能,传统的网络安全也变得越来越困难。现在考虑与我们公司网络连接的操作技术(OT)以启用IOT。这些是医疗设备,工厂车间,钻机,运输容器等设备,以及没有固有的安全功能和最基本的网络功能的其他东西。
IOT安全的赌注也很高。我们正在迅速进入一个全部连接和自动化越来越多的功能的世界。与此相关的有重大隐私和安全问题,使安全强制性。所以,鉴于安全的重要性以及IOT创造了新的安全风险的事实,安全保护环境的最佳方式是什么?
为了帮助回答这个问题,我采访了Tempered Networks的安全架构师Jeff Costlow,这家公司专门保护关键业务系统和脆弱的端点,包括工业系统——物联网的早期使用案例之一。
杰夫的第一个建议是在系统设计中构建安全性。他将其比作修复软件漏洞的成本。寻找bug最便宜、最经济的阶段是在设计阶段。一旦软件进入问答环节,成本就会增加10倍。在生产上,成本又增加了10倍。
同样,在IOT中,试图在生产中确保系统可能会非常耗时,复杂,昂贵。构建安全进入设计阶段仍然很复杂,但它为您提供了确保正确保证环境的时间。
部分过程是理解环境并假设最坏的情况。例如,没有人能够预测Hellbleed和ShellShock,但公司本可以计划用于违反Web服务器的场景。
另一个步骤CostLow提到,而且,从我所看到的,这是大多数组织的做法,正在收集有关OT技术的信息,并理解每个设备的安全生命周期。这意味着建立对设备的修补方式的知识,如何更新固件,以及所需的内容。如果设备需要更新互联网的路径,那么该设备需要向互联网提供某种路径以允许发生这种情况。下一步是了解如何在不将业务处于风险的情况下提供该路径。
实现这一目标的一个策略是启用网络分段。如果网络被划分为安全段或区域,则可以从传统的IT设备隔离IOT设备。分割物联网端点的一个好处是OT可以继续管理所有设备而不需要支持它或将其置于风险。如果需要对互联网的路径,那么可以授予,如果设备以某种方式突破,则该段中的设备是唯一受影响的设备。该区域可以被隔离,可以在没有产生其他系统,IT或OT的风险的情况下进行修复步骤。
在我们的谈话结束时,Jeff Costlow重申,无论采取哪些安全措施,都实施了部署周期,他们将更具影响力和成本效益。随着旧公理的,它总是更好地测量两次并减少一次。