正如預(yù)測的那樣，物聯(lián)網(wǎng)無處不在。從智能冰箱到通過實時分析提供支持的智能城市，物聯(lián)網(wǎng)設(shè)備已成為個人和商業(yè)網(wǎng)絡(luò)的核心元素。這帶來了一些新穎的安全問題。

IoT設(shè)備已被反復(fù)標(biāo)記為易受惡意軟件和劫持攻擊，并且還可用于犯罪數(shù)據(jù)泄露。僵尸網(wǎng)絡(luò)攻擊也變得越來越普遍，單獨增加能源成本可能使企業(yè)損失高達30萬美元(225,000英鎊)。

這些原因促使網(wǎng)絡(luò)管理者尋求創(chuàng)新安全解決方案的趨勢，并且微周界已經(jīng)引起了很多關(guān)注。但是什么是微周長，它們與您的物聯(lián)網(wǎng)安全問題有何關(guān)系?讓我們了解更多。

[[261539]]

什么是微周長，為什么它們很重要?

在網(wǎng)絡(luò)安全領(lǐng)域，我們談?wù)摿撕芏嚓P(guān)于“威脅表面”和周邊的內(nèi)容，這些是在保護任何網(wǎng)絡(luò)時要牢記的關(guān)鍵概念。邊界基本上是描述特定設(shè)備或網(wǎng)絡(luò)限制的邊界。它們標(biāo)記每個特定設(shè)備作為一個整體與網(wǎng)絡(luò)相遇的位置以及網(wǎng)絡(luò)上各個節(jié)點如何交互，還可以用于模擬網(wǎng)絡(luò)本身的限制。

在這篇文章中，我們討論的是基于物聯(lián)網(wǎng)的網(wǎng)絡(luò)中最小規(guī)模的周長：微周長。

為什么微周長而不是更大規(guī)模的邊界?在許多現(xiàn)代IT網(wǎng)絡(luò)中，保護整個網(wǎng)絡(luò)沒有意義。網(wǎng)絡(luò)的規(guī)模和數(shù)百或數(shù)千個分立設(shè)備的存在意味著采取全面的網(wǎng)絡(luò)安全方法可能會錯過細節(jié)。

在基于物聯(lián)網(wǎng)的網(wǎng)絡(luò)中，每個單獨的設(shè)備可能潛在地代表安全風(fēng)險，并且每個設(shè)備都需要單獨保護。這就是微周長進入等式的地方。

通過創(chuàng)建特定于設(shè)備的安全解決方案，網(wǎng)絡(luò)管理員可以鎖定敏感設(shè)備，并確保1)來自第三方的威脅最小化; 2)如果威脅突破安全警戒線，系統(tǒng)就可以隔離受影響的設(shè)備。

這樣想吧。隨著云已經(jīng)成為網(wǎng)絡(luò)解決方案的一個關(guān)鍵方面，網(wǎng)絡(luò)規(guī)模不斷擴大，網(wǎng)絡(luò)節(jié)點和惡意行為者之間的潛在連接成倍增加 - 有時呈指數(shù)級增長。

使用應(yīng)用程序保護網(wǎng)絡(luò)位置

在這種情況下，安全專家采取了縮小其安全方法的戰(zhàn)略。這往往需要一些核心元素，從保護敏感應(yīng)用程序開始。

首先，物聯(lián)網(wǎng)設(shè)備需要采用嚴格的認證程序。這允許合法的員工或用戶訪問設(shè)備(例如水電站中的溫度傳感器或家中的Google揚聲器)，同時排除沒有適當(dāng)憑證的設(shè)備。

這通常涉及使用雙因素身份驗證(2FA)，這會在標(biāo)準(zhǔn)密碼門戶之上添加額外(通常很耗時)的身份驗證層?；蛘撸赡苌婕笆褂寐?lián)合身份驗證系統(tǒng)，該系統(tǒng)使用安全存儲的身份驗證憑據(jù)將大型用戶社區(qū)匯集在一起。

其次，應(yīng)用需要提供授權(quán)。因此，如果用戶連接到NAS數(shù)據(jù)庫，則需要有適當(dāng)?shù)南到y(tǒng)來管理訪問級別并確保正確加密機密數(shù)據(jù)。

在實踐中，兩者一起工作。用戶盡可能高效地進行身份驗證，然后，他們被授權(quán)以適當(dāng)?shù)姆绞绞褂肐oT設(shè)備。當(dāng)這在整個網(wǎng)絡(luò)中擴展時，其想法是保護所有敏感應(yīng)用程序免受外部威脅。

保護應(yīng)用層之外的設(shè)備

雖然在敏感應(yīng)用程序周圍建立微周邊是必不可少的，但在許多情況下，它并不代表全面的安全解決方案。為什么?因為在物聯(lián)網(wǎng)繁重的環(huán)境中，物理設(shè)備同樣重要，同樣容易受到外部威脅。

物聯(lián)網(wǎng)設(shè)備可能成為各種網(wǎng)絡(luò)威脅的受害者。例如，它們可能成為僵尸網(wǎng)絡(luò)的目標(biāo)，招募無辜的傳感器或揚聲器來發(fā)起全球DDoS攻擊?；蛘?，它們可能成為中間人攻擊的焦點，這些攻擊會在機密數(shù)據(jù)傳遞到設(shè)備時傳輸出來。在某些情況下，設(shè)備可以完全脫機。這就是我們在臭名昭著的Stuxnet惡意軟件襲擊伊朗核設(shè)施時看到的情況。

這一切都意味著最小的物聯(lián)網(wǎng)設(shè)備可能是弱點，這會導(dǎo)致系統(tǒng)故障或災(zāi)難性的數(shù)據(jù)泄露 - 對任何公司來說都不是一個受歡迎的開發(fā)。

在這種情況下，端點安全變得極為重要。這可能意味著定期更新固件，對高風(fēng)險設(shè)備進行物理檢查，或安裝企業(yè)級端點安全解決方案，以監(jiān)控設(shè)備與更廣泛的Web之間的每次交互。

但在許多情況下，這種整體方法的細微程度不足以為單個設(shè)備提供可靠的保護。相反，需要采用微周邊方法

如果安全管理人員認為它們會帶來更高的安全風(fēng)險，他們可以圍繞特定設(shè)備施加“網(wǎng)絡(luò)”保護。這在移動電話的情況下尤其常見(并且有用)，移動電話可能離開中央工作場所并與第三方Wi-Fi網(wǎng)絡(luò)交互。

公司可能會選擇實施移動設(shè)備管理軟件，該軟件記錄每個移動設(shè)備，添加安全功能，并確保在每臺筆記本電腦或智能手機上遵循公司安全策略。這是一種方法。

但是，還有其他解決方案可以圍繞物聯(lián)網(wǎng)設(shè)備創(chuàng)建移動周邊。VPN(虛擬專用網(wǎng))是一種選擇。這些應(yīng)用程序加密傳輸?shù)揭苿釉O(shè)備和從移動設(shè)備傳輸?shù)臄?shù)據(jù)，并對其IP地址進行匿名化。這會在每個手機或筆記本電腦周圍創(chuàng)建一個安全“泡沫”，無論用戶在哪里。

對于需要完全遠程工作安全性的中小型組織而言，這可能是一個合適的解決方案。但是你確實需要一個可靠的VPN來鎖定每個微周邊。

在物聯(lián)網(wǎng)設(shè)備周圍保護微周邊時要注意的事項

一般來說，如果您的家庭或企業(yè)托管連接到物聯(lián)網(wǎng)的多個設(shè)備，建議制定一個政策，使其盡可能安全。在將微周邊固定在設(shè)備周圍時，有必要記住一些事項。

• 驗證和身份驗證 - 用戶需要能夠安全地訪問每個設(shè)備，同時排除缺少真實憑據(jù)的第三方參與者。
• 更新 - 您的設(shè)備使用的任何固件必須盡可能保持最新狀態(tài)，從而關(guān)閉惡意軟件威脅。
• 病毒/惡意軟件防護 - 物聯(lián)網(wǎng)設(shè)備可能成為惡意軟件的受害者，就像計算機一樣。為連接到Web的所有設(shè)備實施掃描和隔離策略。
• 額外的邊界安全性 - 如果您想最大限度地提高設(shè)備安全性，那么使用VPN在網(wǎng)絡(luò)中引入另一層保護是有意義的。

但是，值得注意的是，在大型設(shè)備社區(qū)中實施微周邊方法成本高昂。它們適用于高風(fēng)險節(jié)點和小型網(wǎng)絡(luò)，對于保存機密數(shù)據(jù)的設(shè)備而言勢在必行。但對于更大的網(wǎng)絡(luò)，它們并不總是優(yōu)于更廣泛的端點安全方法。