企业边界消失后,物联网安全如何守护?
2021-12-10
作者:王洁
来源:电子技术应用
据IoT Analytics 预计,截至2025 年,全球将有309 亿部物联网设备;2019 至2025 年物联网连接数的复合增长率约20.7%。“万物互联”的时代正在到来,智能家居作为物联网的主要应用场景之一,发展尤为迅猛。智能音箱、智慧灯泡、智能空调、智能电视……各类智能设备已经广泛出现在人们生活中,想必现在有不少人计时、听歌、开灯等都离不开小度(或小爱同学)的帮忙了。
与此同时,万物互联带来的安全问题也已经不是什么新鲜事了,摄像头被入侵的新闻屡见不鲜,尽管设备厂商正在为各自的设备安全而努力,家庭网的安全始终不够让人放心。人们可以在一些场合通过关闭(甚至遮挡)网络摄像头来保证隐私、在财务交易中能够通过U盾来保证安全……相比物联网带来的便捷,那些不安全隐患就“还好”,毕竟大部分人还没有真正遇到网络安全威胁带来的直接后果。然而,当家庭网络接入企业网之后,情况就发生变化了。
万物互联给企业带来新的安全挑战
疫情爆发以来,分布式办公成为企业员工办公的“新常态”。办公室办公时处于“零信任”的环境中,所有的联网设备都是经过认证的;员工远程办公时,家庭网络与企业网络存在同一个环境中,家庭网络的IoT设备的存在使得整个物联网的安全难以保障。
根据Palo Alto Networks(派拓网络)对IT决策者进行的一项调研显示,84%的中国大陆受访者表示,过去一年连接到企业网络上的非商业设备有所增加。“智慧灯泡、心率监测器、联网运动装置、咖啡机、游戏机,甚至是宠物喂食器……各种’奇怪’的设备都出现在了网络设备列表上。透过这些小型的物联网设备,网络攻击者就能找到企业网络的入口,以发起勒索软件等攻击。” Palo Alto Networks(派拓网络)大中华区总裁陈文俊表示,“恶意软件很容易通过安全保护薄弱的物联网设备,横向扩展到企业网络里面,从而让企业蒙受巨大的损失。”
Palo Alto Networks(派拓网络)大中华区总裁 陈文俊(图源:派拓网络)
2021年年初,派拓网络对135000个安全摄像头进行了检查,发现54%的摄像头至少有1个安全漏洞,黑客利用这些漏洞可以完全操控这些摄像头,从而进入企业网络中,发动网络攻击。此外,家庭路由器也普遍存在安全漏洞,黑客很容易通过这些路由器进入家庭网络,进而利用薄弱的家庭联网设备向企业网络发动勒索和攻击。
分布式办公给企业带来了新的安全挑战,陈文俊总结为以下三点:
第一,没有托管安全服务的家庭网络,其本质上是不安全的,无法通过安全软件和策略予以保护。这就导致很难预先防范从家庭网络扩展进来的网络威胁。
第二,缺乏网络分段。黑客可以轻松的从家庭网络横向扩展至企业网络,进而访问企业机密信息和数据。
第三,缺乏网络可视性。企业安全团队对上述家庭网络中的工作设备一无所知,因而无法对安全威胁进行快速响应和处理。
物联网安全保护方法亟待改进
分布式办公使得企业的核心数据和应用都面临着巨大的安全威胁和风险,当下的企业迫切需要创新的安全保护方式来应对分布式办公模式带来的安全挑战,安全保护需要从设备层面提升到整个网络层面。
今年,派拓网络委托第三方技术研究公司Vanson Bourne针对IoT行业安全问题进行了一项调研,涉及到分布在18个国家或地区的1900个主要企业里的IT决策人。“通过调研发现,采用物联网已成为企业推动业务的关键,但这同时也为企业带来了新的安全挑战。只有员工和雇主共同承担保护网络的责任,才能应对这些挑战。”Palo Alto Networks(派拓网络)中国区大客户技术总监张晨表示。
Palo Alto Networks(派拓网络)中国区大客户技术总监 张晨(图源:派拓网络)
针对亚太及日本地区,派拓的调研结果显示,98%以上的亚太及日本地区的相关企业对企业中联网类的物联网设备相对有信心,大概了解在自己的企业网络中有哪些设备连接上来,情况与北美地区(98%)和中东、欧洲和非洲地区(95%)相似。最自信的企业主要分布在中国,包括大陆(99%)、香港地区(99%)和台湾地区(99%)。
然而,亚太及日本地区对物联网安全实践的信心低于北美地区和中东、欧洲和非洲地区。72%的受访者表示,当其企业中出现新的物联网设备时,其物联网安全方法是需要大量改进的,这一个比例高于北美地区(63%)和中东、欧洲和非洲地区(56%)。因此,在亚太及日本地区,在对物联网设备的安全管理手段上和方法上还有很大的提升空间。
值得关注的是,到目前为止,有18%的受访者表示,还没有把企业内部的物联网设备和企业内部其他核心关键业务设备和应用分开,这是一个很大的安全隐患。不过这个数据以及比2020年的33%有了明显下降,而且低于北美地区(21%)和欧洲、中东和非洲地区(27%)。
分布式办公这种远程接入的新型工作方式是否确实会导致物联网安全事件的增加呢?82%的受访者表示确实是。这种风险比较大的区域主要是在香港地区(88%)、印度(86%)和新加坡(83%)。这些出现在企业网络里的各种“奇怪”的物联网设备与大多数市场相似,主要是联网家居设备(39%)、联网相机(39%)、联网可穿戴医疗设备(37%)。
在中国大陆的受访者中,81%的受访者表示,这一年来,在企业内部互联网造成的安全事故有所增加。70%的受访者希望在物联网风险评估上获得更多帮助,想知道物联网设备有哪些、存在哪些安全漏洞、造成什么危害;64%的受访者想了解物联网设备的上下文;62%的受访者需要详尽的设备清单,定期知道在网络上会出现哪些物联网设备,以及设备的版本号、协议等;62%的受访者希望在IoT的安全执行和零信任策略架构上得到更多指导。
另外, 35%的中国大陆受访者表示现在在企业内部出现的物联网设备已经和企业主要的设备及业务系统独立运作;44%的受访者表示,已经在IoT设备的管理上遵从“网络微分段”最佳实践,实施了更加细粒度的微分段隔离和访问安全控制的措施。
物联网安全提示
对于居家办公的员工,亦或是对于整个企业的IT管理,有哪些方法可以帮助企业和个人降低物联网带来的安全风险呢?基于以上调研和在网络安全领域的长期经验,派拓网络给出了以下物联网安全提示。
对于居家办公的员工,需要长期坚持一些最佳实践,主要有五方面:
1.熟悉WIFI路由器,修改还原口令,提升网络加密协议等级,如WAP3或WAP2等;
2.定期检查路由器上的设备,不熟悉的设备主动切断,进行双因素认证;
3.在家庭网络中采用网络分段,将办公电脑单独规划到一个网段里,家用的其他智能设备放在另外的网段里;
4.对设备进行双重认证;
5.对联网设备和路由器都坚持定期安全更新;
对于企业,除了要精确了解企业网中出现的物联网设备并持续跟踪已连接设备,从整个IT网络的安全规划角度,仍然要遵循零信任的原则,把物联网安全纳入到整个零信任的架构中,同样对它进行设备、用户访问权限和实时流量的安全检查。此外,还需要利用有效的技术,对发现在物联网设备上的安全漏洞和安全攻击进行及时的阻止和快速的响应。
作为一家全球网络安全领导企业,派拓网络在技术创新上可以从两个大的层面帮助企业和个人守护物联网安全。
第一,将机器学习与专利技术APP-ID和Device-ID相结合,更好地帮助企业和个人发现物联网中所使用的应用,快速识别设备的标识,了解物联网设备的应用协议和设备的端口号、版本号,对设备提供准确和深入的可见性。
第二,针对设备在网络上的行为做一个基线模型,凡是超出基线模型之外的行为都是可怀疑的,需要不断进行监控。据此,能够帮助企业主动识别新兴设备,识别其异常的网络行为,进而不断地修正和强化安全强制策略。
网络安全真正落地的阻碍不是意识不够,而是技术创新和操作便捷性的问题,那么有没有什么既方便又有效的方式能实现真正的网络安全呢?两个月前,派拓网络发布了全新的企业级家庭网络的安全解决方案Okyo Garde™,自带WIFI 6系统功能,可以应对新的混合工作环境。这是一个小小的设备,可以放在餐厅、卧室,甚至是办公室隔间,就可以实现办公网络的隔离。这个设备可以下载很多安全策略,将零信任从企业内部延伸到家庭中,出现任何的攻击或者恶意软件的勒索、钓鱼即会被切断。
Palo Alto Networks Okyo Garde™(图源:派拓网络)
如果只是想让家里的网络更安全,Okyo Garde也可以发现家里所有的设备并为它们提供安全保护,并且通过手机上的APP就能对设备进行管控。
据悉,Okyo Garde目前在美国可以使用,预计明年年初在亚洲会见到。
在万物互联的潮流中,居家办公、移动办公的新型混合型办公模式虽然带来了极大的便利,但不容无视的是企业原有的边界已经逐渐消失。“任何的技术创新应用,必须以安全为前提。” 陈文俊最后强调,“派拓网络作为安全领域的技术专家,我们的目标和愿景就是给企业提供全面的安全保护,我们希望和大家一起去保护我们的数字生活,希望每一天都比昨天更安全。”