将数据中心使用的微隔离技术 (MicroSegmentation) 作为 IoT 物联网安全策略的一部分进行部署,可以实现对网络系统更细粒度的控制,并实现更好的隔离。
随着等保 2.0 将物联网和工控系统纳入等级保护监管,处于起步阶段的物联网和工控安全将迎来快速发展。与此同时,随着物联网部署的快速增长,该领域面临的安全威胁也越来越大。根据研究公司 Ponemon Institute 和风险管理服务公司 The Santa Fe Group 的报告,自2017 年以来,与 IoT 相关的数据泄露事件 “急剧” 增加。使问题进一步复杂化的是,大多数企业并不了解其环境中(包括)第三方供应商的每一个 IoT 设备或应用程序的安全性。Ponemon 的研究表明,许多组织没有解决或管理物联网风险的集中责任制,并且大多数人认为他们的数据将在未来 24 个月内遭到破坏。
IoT 安全风险对于医疗等行业而言尤为严峻,因为终端设备会通过网络收集和共享大量敏感信息。研究公司 Vanson Bourne 调查了 232 个医疗行业用户发现,82% 的受访者在过去一年中遭遇过以物联网为中心的网络攻击。医疗机构最常见的漏洞分布如下:网络 (50%),移动设备和随附的应用程序 (45%),以及物联网设备 (42%)。
微隔离,更好的选择
早在 2017 年,Gartner 就将微隔离技术 (Microsegmentation) 评为 11 大最值得关注的信息安全技术。
当攻击者渗透进入企业系统获得据点,通常都能在周边系统自由拓展。微隔离技术能够在虚拟数据中心中进行隔离划分,防范攻击者的内部游走,将攻击导致的损失降至最低。
近年来推动微隔离技术发展的主要动力是软件定义网络 (SDN) 和网络虚拟化的出现。通过使用与网络硬件分离的软件,与那些尚未与底层硬件分离的软件相比,分段(隔离)更容易实现。
相比防火墙这种以边界为中心的产品,微隔离技术大大提高了数据中心的流量控制能力,因此可以有效阻止攻击者进入网络进行破坏。
微隔离也有管理上的好处。IDC 的 IoT 安全分析师 Robyn Westervelt 表示:
如果可以正确实施微分段,则可以在 IoT 设备和其他敏感资源之间添加一层安全保护,而不会在防火墙上造成漏洞 。但是底层的基础架构必须支持这种方法,并且可能需要安装比较新的交换机、网关等。
对于工业物联网来说,内部防火墙太贵太复杂
保护工业物联网 (IIoT) 环境的一种方法是使用内部防火墙。这似乎是一个显而易见的选择,因为内部防火墙已成为所有安全保护的事实标准。但是,在工业物联网环境中,由于成本和复杂性,防火墙可能是最差的选择。
从历史上看,内部防火墙被部署在流量沿 “南北” 方向移动的地方,并会通过单个入口/出口点,例如核心交换机。而且,连接的设备都是可知和可管理的。但在工业物联网中,连接变得更加动态,流量可以 “东西向” 模式在设备之间流动,从而绕过防火墙所在的位置。这意味着安全团队需要在每个可能的 IIoT 连接点部署内部防火墙,然后跨数百个(可能是数千个)防火墙管理策略和配置,从而造成几乎无法控制的局面。
专门研究 IIoT 安全解决方案的 Tempered Networks 总裁兼首席执行官Jeff Hussey透露,他们的一个客户对内部防火墙需求进行评估后,发现其成本高达 1 亿美元,运营方面的挑战同样巨大。另外一个医疗企业尝试使用防火墙规则、ACL、VLAN 和 科学 的组合来保护其环境,但是发现无法承受 “高度复杂性带来的运营开销”。
国际控制系统网络安全协会 (CS2AI) 的创始人兼董事长 Derek Harp 认为,随着第三方不断需要从内部系统访问数据,随着工业物联网自身的不断发展和开放,当前的IIoT环境变得越来越 “千疮百孔”。IIoT 网络安全团队面临的挑战远超传统安全团队。
对于工业物联网,微隔离优于内部防火墙
工业物联网安全专业人员应该使用微隔离,而不是内部防火墙。微隔离类似于 VLAN 和 ACL,但是环境隔离是在设备级别完成的,通过规则而不是在网络层进行管理。使用 VLAN 和 ACL,需要将所有设备(包括 IIoT 端点)分配给 VLAN。如果端点移动,则需要重新配置网络以适应。否则该设备将无法连接,或者与被破坏的设备、可能发生不良情况的设备位于同一网络上。
几年前的 Target 违规就是一个很好的例子,零售商的 HVAC 系统遭到破坏,这为销售点 (PoS) 系统制造了后门。传统的安全性在高度静态的环境中非常有效,但是 IIoT 可以通过设备定期加入和离开网络来实现高度动态。
工业物联网是微隔离下一个优秀用例
微隔离的优点是可以在软件中配置,并且在设备连接层上运行,是基于端点的策略。例如,可以创建一个微隔离规则,让所有医疗设备都位于特定的段中,并且与其余连接的节点隔离。如果移动了医疗设备,则该策略将随之而动,无需重新配置。如果 Target 一直在使用 IIoT 微隔离,并且 HVAC 空暖控制系统和 PoS 系统位于不同的微分段,那么黑客能做的最坏的事情无非就是让商场室温升高。
微隔离已经应用于数据中心,以保护在虚拟机和容器之间流动的横向流量。网络安全团队现在应该寻求将该技术推广和扩展到更多应用场景,保护工业物联网端点就是一个优秀的用例。这将使企业能够推进数字化转型计划,而不会给公司带来风险。
当前什么职业容易?
最近,教育研究院的一项研究表明,随着我国经济与社会的发展,今后10年内,我国对人才的需要将有较大的变化。 从技术和产业发展的角度来说,今后几年我国将大力发展6大技术领域:生物技术、信息技术、新材料技术、新能源技术、空间技术、海洋技术。 6大技术可形成9大高科技产业:生物工程、生物医药、光电子信息、智能机械、软件、超导体、太阳能、空间产业和海洋产业。 按照国家人事部的有关统计预测,我国今后几年内急需人才主要有以下8大类:以电子技术、生物工程、航天技术、海洋利用、新能源新材料为代表的高新技术人才;信息技术人才;机电一体化专业技术人才;农业科技人才;环境保护技术人才;生物工程研究与开发人才;国际贸易人才;律师人才.
暗黑2 1 .10般圣骑士怎么练
必练,圣盾,可以把防御加的超高,这样既使血不多也可以通地狱,我练的才700血。 主要加力量,敏捷嘛,练到你开了圣盾以后格档几率变成75%的时候就行了,体力你可以根据情况加,精力加少点。 技能方面,有组合的。 审判(光环)加复仇;专注(光环)加祝福之槌;狂热(光环)和突击(或者白热牺牲);神圣闪电(光环)加天堂之拳;还有一种盾击,不太了解。 练一种组合就行了。 但前提都是要开圣盾,所以有三个技能是要加满的。 主要是考虑加成,这样的组合是比较好的。 过路技能一点就行。 有些可以不点,比如你练第一种类型的话,天堂之拳闪电锤子之类的就不用练了。 其他的点数根据需要分配,比如抗火抗冰抗电的光环会对复仇的攻击力有加成。 你把主修技能练完后可以考虑考虑练这几个。
SD-WAN网络意味着什么?
SD-WAN网络出现意味着什么?
随着5G网络的出现,物联网(IoT)应用快速增长,工业自动化、智慧园区、智能安防、大数据、车联网等宽带物联网相关应用纷纷落地。 相对窄带物联网应用,宽带物联网对网络的QoS提出了更高的要求。 IoTN作为物联网连接方案,通过共享边缘POP节点,优化通信协议,云端QoS控制,在现有的基础网络上,优化满足蓬勃发现的宽带物联网发展需求。
随着企业纷纷拥抱数字化转型,以及边缘计算、云服务和混合网络的兴起,传统云安全通过企业数据中心对数据流进行检查的方式在实时、移动和边缘等场景下逐渐失灵,SASE将SD-WAN与零信任访问等一系列安全能力集成,访问决策基于用户身份并在边缘强制执行,而策略则在云中集中定义和管理,可实现安全架构的核心从数据中心向身份的根本性转变。 技术变革往往为新巨头的诞生创造重大机遇,意识到SASE重要价值的厂商和资本已经行动起来。
SD-WAN意为软件定义的广域网,它允许企业智能切换使用包括光纤、5G和宽带等多种网络服务及组合,以创建一个更灵活、顺畅、易管理的互联网连接,让公司可以低成本跨越数千个终端扩展基于云的应用。
当前,SD-WAN的边界正向更深更广的方向延伸,不仅限于广域网边缘,还包括网络边缘,从而能实现网络边缘与广泛分布的本地端点和基于云的端点之间的连接。
发表评论