物联网(IOT)一直是网络和安全专业人士在过去五年的大部分时间头脑的顶部。这一直是特别真实的工业物联网(IIoT)的区域。连接工业设备是什么新鲜事,但因为他们已经通过操作技术(OT)团队管理大多数IT人并不熟悉。越来越多的,不过,商界领袖希望把OT和IT一起开车从综合数据集更好的见解。
虽然合并IT和OT并让IIoT归IT所有有很多好处,但它对网络安全团队有深远的影响,因为它引入了一些新的安全威胁。每个连接的端点,如果被破坏,就会创建一个进入其他系统的后门。
内部防火墙用于IIoT昂贵的,复杂的选项
保护IIoT环境的一种方法是使用内部防火墙。这似乎是一个显而易见的选择,因为内部防火墙已成为确保几乎所有的东西事实上的标准。然而,在IIoT环境,防火墙也许是因为成本和复杂性的最糟糕的选择。
在历史上,内部防火墙被部署在交通以“南北”方向移动的地方,并将通过一个单一的入口/出口点,如一个核心交换机。此外,连接的设备都是已知的,并由它管理。使用IIoT,连接可以更加动态,并且可以在设备之间以“东西”模式流动流量,绕过防火墙所在的位置。这意味着安全团队需要在每个可能的IIoT连接点部署内部防火墙,然后跨数百个(可能是数千个)防火墙管理策略和配置,从而造成几乎无法管理的情况。
为了更好地理解这一问题的严重性,我曾与杰夫·赫西,回火Networks总裁兼首席执行官,专门从事IIoT安全解决方案,他告诉我关于使用内部防火墙专门探讨公司的客户之一。这样做的,所有的内部防火墙就需要去进行广泛的评估后,企业估计,防火墙的总成本将约为1亿$。即使企业可以负担得起的,有与业务方面相关的挑战另一层。
然后,Hussey告诉我一个医疗客户试图使用防火墙规则、ACL、VLANs和vpn的组合来保护他们的环境,但是,正如他所说的,“复杂性正在杀死他们”,并且由于操作开销,使得任何事情都不可能完成。
我还与德里克·哈普(Derek Harp)进行了交谈,他是the国际网络安全协会(CS2AI),他在IIoT领域做了很多工作。他说,随着网络的不断发展和第三方需要访问来自内部系统的数据而变得更加开放,目前的IIoT环境变得越来越“漏洞百出”。再加上威胁行动者的高级技能水平,很容易看出这不是网络安全团队可以与传统网络安全对抗的战斗。
微分割优于内部防火墙为IIoT
而不是使用内部防火墙,安全专业人士应该向着IIoT微分割。分割是类似于使用的VLAN和ACL的,但对环境的分离是在设备级完成,与规则而不是在网络层进行管理。使用VLAN和ACL,所有设备,包括IIoT端点,将需要被分配到一个VLAN。如果端点移动,网络则需要重新配置,以适应。如果不是,该设备既无法连接或者是在同一个网络,如果它违反了其中可能发生的坏事设备上的。
塔吉特几年前的违规就是一个很好的例子,零售商的HVAC系统被破坏了,这为销售点(PoS)系统创造了一个后门。传统的安全性在高度静态的环境中工作得很好,但是由于设备经常加入和离开网络,IIoT可以是高度动态的。
分割工作在器件层
分割的好处在于它是在软件中完成的,并在设备连接层操作,因此策略遵循端点。例如,可以创建一个规则,其中所有医疗设备都位于一个特定的段中,并且与其他连接节点隔离。如果医疗设备移动,保单也会随之移动,不需要重新配置。如果Target使用了IIoT微区隔,而HVAC和PoS系统是分开的(从最佳实践的角度来看,它们应该是分开的),那么最糟糕的结果就是商店变得太热了。
微分割已经在数据中心中被使用,以确保虚拟机和容器之间流动的横向流量。2020欧洲杯预赛网络安全团队现在应该到了扩大技术应用到更广泛的网络,第一个使用案例是,以确保IIoT端点。这将让商家与数字化改造的计划向前推进,没有把他们的公司面临风险。