用戶急于部署數(shù)據(jù)和服務(wù)而忽略了安全，因而邊緣計(jì)算正快速成為網(wǎng)絡(luò)安全新“前線”。巡邏邊緣，護(hù)衛(wèi)安全，你準(zhǔn)備好了嗎?

[[237934]]

2017年，一家賭場(chǎng)酒店大堂魚(yú)缸里的溫度計(jì)被黑，攻擊者以此滲透進(jìn)賭場(chǎng)網(wǎng)絡(luò)，將其“豪賭客”數(shù)據(jù)庫(kù)傳到了云端。

2018年5月，通過(guò)路由器、監(jiān)視攝像頭、數(shù)字錄像機(jī)等IoT設(shè)備發(fā)起的拒絕服務(wù)攻擊讓某公司網(wǎng)站掉線四天。

IT部門(mén)不可避免地?fù)?dān)負(fù)著維護(hù)企業(yè)安全的責(zé)任，這兩起案例充分闡明了為什么IT部門(mén)越來(lái)越頭疼邊緣安全問(wèn)題。隨著越來(lái)越多的計(jì)算機(jī)以IoT設(shè)備、機(jī)器人和其他用在遠(yuǎn)程設(shè)施及用戶環(huán)境的本地化系統(tǒng)及網(wǎng)絡(luò)的形式被部署在企業(yè)邊緣，IT部門(mén)的安全防護(hù)工作也越來(lái)越難做了。在這一全新的邊緣計(jì)算環(huán)境中，有太多IT策略和安全問(wèn)題需要處理和解決。

那么，關(guān)于邊緣安全策略，有哪些重大漏洞領(lǐng)域需要加以關(guān)注，企業(yè)IT部門(mén)又該如何應(yīng)對(duì)呢?

1. 遍布各處的資產(chǎn)

只要負(fù)責(zé)資產(chǎn)管理，全公司所有的IT資產(chǎn)就都是你的責(zé)任，無(wú)論這些資產(chǎn)來(lái)自公司IT還是終端用戶。但凡有所疏漏，黑客便可乘隙而入。

但隨著非IT人員越來(lái)越多地參與到邊緣網(wǎng)絡(luò)的部署與管理工作中，出現(xiàn)漏洞的風(fēng)險(xiǎn)也就越來(lái)越大。非IT人員在企業(yè)邊緣部署和管理網(wǎng)絡(luò)的做法會(huì)形成“孤島效應(yīng)”——IT部門(mén)之類(lèi)中央安全機(jī)構(gòu)不再擁有對(duì)所有設(shè)備和網(wǎng)絡(luò)的可見(jiàn)性。

某案例中，酒店業(yè)某公司的IT部門(mén)甚至都沒(méi)注意到該公司新安裝了400臺(tái)智能微波爐。如果這些微波爐結(jié)成的物聯(lián)網(wǎng)絡(luò)遭到拒絕服務(wù)攻擊，弄不熟牛排的損失，讓顧客失望的損失，會(huì)有多大呢?

邊緣計(jì)算擴(kuò)張的原因之一，是其部署從IT部門(mén)遷移到了終端業(yè)務(wù)部門(mén)。新一代雇員只求能在公司邊緣就把工作任務(wù)完成，于是他們更慣于無(wú)視IT，忽視需保護(hù)自身部署的系統(tǒng)和IoT設(shè)備安全的責(zé)任。

因此，在IT采購(gòu)決策中，全球90%的CIO如今有時(shí)候會(huì)被業(yè)務(wù)用戶繞過(guò)，經(jīng)常被無(wú)視的CIO則占比31%。知曉自家公司到底擁有哪些技術(shù)，已經(jīng)成了一個(gè)非?，F(xiàn)實(shí)的問(wèn)題。

該問(wèn)題的解決方案之一，是采用資產(chǎn)管理系統(tǒng)跟蹤所有技術(shù)資產(chǎn)，無(wú)論該資產(chǎn)是中央部署的還是位于邊緣的。但此類(lèi)系統(tǒng)往往需要手動(dòng)錄入資產(chǎn)，而如果你不知道買(mǎi)了哪些資產(chǎn)，自然無(wú)法做到資產(chǎn)跟蹤。

另一個(gè)解決方法是使用設(shè)備檢測(cè)軟件，自動(dòng)檢測(cè)新增設(shè)備，這樣就能很好地跟蹤資產(chǎn)變動(dòng)情況，也能應(yīng)用恰當(dāng)?shù)娘L(fēng)險(xiǎn)管理工具和策略了。

使用設(shè)備檢測(cè)技術(shù)還可以看清主要流量來(lái)源。Uber采用設(shè)備檢測(cè)技術(shù)已經(jīng)取得了巨大的成功。首先，IT識(shí)別1級(jí)安全風(fēng)險(xiǎn)，并確保所有系統(tǒng)和設(shè)備都受到防護(hù)。然后，相對(duì)不那么重要的2級(jí)安全風(fēng)險(xiǎn)則任何人都可以簽署。只要?jiǎng)澐智宄踩燃?jí)，就可以應(yīng)用相應(yīng)的監(jiān)視和風(fēng)險(xiǎn)管理措施。該方法的底線在于，IT需要知道邊緣都部署了些什么，需要?jiǎng)澐智宄踩L(fēng)險(xiǎn)等級(jí)并定義適用的工具和操作。最重要的是，IT需與用戶緊密合作，作為安全的驅(qū)動(dòng)者而非執(zhí)行者。

2. 人的因素

在緊迫的生產(chǎn)計(jì)劃表重壓下，車(chē)間經(jīng)理很容易只關(guān)心生產(chǎn)進(jìn)度，計(jì)算機(jī)數(shù)控車(chē)床會(huì)不會(huì)被黑并不在他/她考慮之列。生產(chǎn)環(huán)境中，口令會(huì)被共享，專利信息會(huì)被交出，本應(yīng)鎖好機(jī)器人和IoT系統(tǒng)的房間門(mén)也會(huì)被打開(kāi)。

應(yīng)對(duì)方法之一，是強(qiáng)化硬件和IoT設(shè)備安全，加密它們存儲(chǔ)/處理的數(shù)據(jù)。另一個(gè)方法，是采用零信任網(wǎng)絡(luò)。

零信任概念在2010年由佛瑞斯特研究所最先提出，其核心思想是企業(yè)內(nèi)部和外部的任何用戶/設(shè)備都不可信，必須滿足所有安全標(biāo)準(zhǔn)才可以獲得網(wǎng)絡(luò)的訪問(wèn)權(quán)。

零信任網(wǎng)絡(luò)會(huì)檢測(cè)并攔截企業(yè)網(wǎng)絡(luò)上異常移動(dòng)的數(shù)據(jù)流。因?yàn)閮H授權(quán)一組相當(dāng)有限的用戶，這種檢測(cè)得到了簡(jiǎn)化。零信任網(wǎng)絡(luò)也是相當(dāng)出色的邊緣技術(shù)，彌補(bǔ)了企業(yè)邊緣計(jì)算必須遠(yuǎn)程管理而非IT托管的缺陷。

3. 影子IT

Gartner研究稱，影子IT如今占據(jù)了30-40%的企業(yè)技術(shù)支出。戰(zhàn)略咨詢公司埃弗萊斯集團(tuán)的研究人員則發(fā)現(xiàn)，影子IT組成了企業(yè)計(jì)算的半壁江山。大多數(shù)影子IT都部署在企業(yè)邊緣，當(dāng)IT部門(mén)發(fā)現(xiàn)了這些影子技術(shù)，自然而然會(huì)想要在其上實(shí)施安全策略。

• IT部門(mén)需要改變這種頭痛醫(yī)頭腳痛醫(yī)腳的問(wèn)題處理思路。此類(lèi)情況不應(yīng)被當(dāng)成潛在安全問(wèn)題來(lái)看待，反而應(yīng)視作解決問(wèn)題的機(jī)會(huì)。
• IT部門(mén)應(yīng)審核并推薦終端用戶可自行用于保護(hù)其系統(tǒng)的安全工具和服務(wù)。

另外，IT還可往每個(gè)系統(tǒng)中嵌入邊緣計(jì)算安全和身份管理技術(shù)，無(wú)論這些系統(tǒng)是否位于企業(yè)邊緣。

可以這么操作：

規(guī)定所有新技術(shù)都必須鏈入已實(shí)現(xiàn)了安全防護(hù)的零信任網(wǎng)絡(luò)。由于該網(wǎng)絡(luò)已建立，IT部門(mén)無(wú)需直面終端用戶，終端用戶自己就能推進(jìn)其技術(shù)。另外，IT部門(mén)還可以發(fā)布能自行驅(qū)動(dòng)終端用戶安全的策略和工具集。舉個(gè)例子，技術(shù)供應(yīng)商是不會(huì)主動(dòng)強(qiáng)化應(yīng)用層、操作系統(tǒng)層、用戶層和物理層設(shè)備的安全的，但如果終端用戶知道在征求建議書(shū)(RFP)階段提出這些安全功能要求，那技術(shù)供應(yīng)商也就不得不認(rèn)真夯實(shí)其安全基礎(chǔ)了。這就是前期IT指導(dǎo)的作用。

4. 沒(méi)打補(bǔ)丁的操作系統(tǒng)

終端用戶自行部署各類(lèi)設(shè)備和系統(tǒng)的做法存在很大的風(fēng)險(xiǎn)管理問(wèn)題，主要體現(xiàn)在IT部門(mén)對(duì)這些晦澀難懂的操作系統(tǒng)不甚了解上。

在廚房安裝智能微波爐的酒店，大量運(yùn)用病人監(jiān)視器、胰島素泵和其他各種IoT設(shè)備的醫(yī)療機(jī)構(gòu)，就特別容易遭到攻擊——因?yàn)檫@些設(shè)備往往是最終用戶自行安裝并使用的，且其操作系統(tǒng)一般都不常見(jiàn)。

這種情況下，IT部門(mén)需要做到兩點(diǎn)：

• 通過(guò)能自動(dòng)檢測(cè)新資產(chǎn)添加情況的網(wǎng)絡(luò)，或者與最終用戶緊密合作，即時(shí)發(fā)現(xiàn)或識(shí)別新上線的資產(chǎn);
• 與這些設(shè)備或系統(tǒng)的供應(yīng)商協(xié)作，拿出在這些不常見(jiàn)操作系統(tǒng)上執(zhí)行定期軟件更新的規(guī)程。

至于運(yùn)行常見(jiàn)操作系統(tǒng)的設(shè)備，IT部門(mén)使用自動(dòng)推送更新軟件確保及時(shí)修復(fù)軟件漏洞，實(shí)時(shí)管理軟件補(bǔ)丁即可。

另外一種選擇是采取“拉”更新策略，讓終端用戶享有自行決定補(bǔ)丁或操作系統(tǒng)版本安裝時(shí)機(jī)的自由。但這種做法并非最佳操作，因?yàn)?ldquo;拉”還是不“拉”更新取決于終端用戶是否記得要安裝更新。

5. 風(fēng)險(xiǎn)管理和災(zāi)難恢復(fù)

企業(yè)IT的安全措施肯定不僅止于設(shè)立零信任網(wǎng)絡(luò)和交給終端用戶安全管理工具及策略。將邊緣計(jì)算融入企業(yè)風(fēng)險(xiǎn)管理和災(zāi)難恢復(fù)計(jì)劃也是企業(yè)IT的責(zé)任。

調(diào)查數(shù)據(jù)顯示，僅27%的公司有正式且持續(xù)的業(yè)務(wù)連續(xù)性計(jì)劃。這反映出大多數(shù)公司企業(yè)很難做好災(zāi)難恢復(fù)工作的現(xiàn)狀。

公司企業(yè)在更新邊緣計(jì)算災(zāi)難恢復(fù)計(jì)劃上有點(diǎn)落后于時(shí)代。部署在邊緣的任務(wù)關(guān)鍵系統(tǒng)、網(wǎng)絡(luò)及設(shè)備應(yīng)事先被識(shí)別出來(lái)，并做好一旦被入侵的應(yīng)對(duì)準(zhǔn)備。如果真的發(fā)生了入侵事件，攻擊者可能早已滲透進(jìn)設(shè)備并四處查探許久了。應(yīng)在風(fēng)險(xiǎn)管理框架下處理此類(lèi)情況，查清安全事件對(duì)公司及品牌的影響。影響有可能是被客戶和合作伙伴指責(zé)玩忽職守，有可能是損失幾千萬(wàn)美元公司估值。沒(méi)人想看的這些情況發(fā)生，所以必須設(shè)置有效的邊緣計(jì)算安全策略。

6. 供應(yīng)商審查

可以設(shè)置由防火墻保護(hù)的隔離網(wǎng)絡(luò)，并提供雙向身份驗(yàn)證及交易負(fù)載加密，來(lái)管理邊緣設(shè)備訪問(wèn)點(diǎn)。另外，還可以靠傳感器收集各組交易的信息，判斷傳感器數(shù)據(jù)模式是否有價(jià)值。

邊緣技術(shù)供應(yīng)商理應(yīng)能提供上述功能。當(dāng)然，公司企業(yè)更應(yīng)與供應(yīng)商一起探討安全問(wèn)題，看他們的軟硬件都具備哪些安全特性。然后，用好這些安全功能。如果供應(yīng)商無(wú)法提供恰當(dāng)?shù)陌踩Ｕ希蝗鐡Q一家。

結(jié)語(yǔ)

用戶總是急于部署數(shù)據(jù)和服務(wù)，而把安全放到次要位置。IT部門(mén)可以通過(guò)往邊緣計(jì)算安全防護(hù)和檢測(cè)項(xiàng)目中引入身份管理、數(shù)據(jù)加密、零信任網(wǎng)絡(luò)和補(bǔ)丁管理等檢查點(diǎn)，提升公司整體安全策略的成功率。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文