[[422056]]

很多企業(yè)如今已經(jīng)能夠響應并很好地處理已知的網(wǎng)絡(luò)安全威脅，而應對未知威脅將使企業(yè)的業(yè)務運營更具彈性。

網(wǎng)絡(luò)安全市場是否能夠真正保護通過物聯(lián)網(wǎng)連接和傳輸數(shù)據(jù)的數(shù)十億臺物聯(lián)網(wǎng)設(shè)備?這是一個關(guān)鍵問題，而人們信任與工作和生活密切相關(guān)的物聯(lián)網(wǎng)設(shè)備這一基本認識強調(diào)了這一點。

更重要的是，越來越多的物聯(lián)網(wǎng)設(shè)備連接到云端，更直接地利用基于云計算的存儲為網(wǎng)絡(luò)攻擊者創(chuàng)造了新的攻擊渠道。

在不久的將來，這些設(shè)備將支持5G技術(shù)，這使得連接到網(wǎng)絡(luò)而不是Wi-Fi路由器的物聯(lián)網(wǎng)設(shè)備更難以進行監(jiān)控和保護。

傳統(tǒng)網(wǎng)絡(luò)安全措施使物聯(lián)網(wǎng)設(shè)備易受攻擊

當涉及到物聯(lián)網(wǎng)時，處理信息安全威脅的傳統(tǒng)方法難以滿足要求。在傳統(tǒng)安全策略中長期依賴的傳統(tǒng)防御邊界不再能夠妥善維護網(wǎng)絡(luò)安全，因為越來越多的企業(yè)轉(zhuǎn)向分布式環(huán)境。

傳統(tǒng)的信息安全方法也缺乏靈活性，無法應對日益增長的物聯(lián)網(wǎng)設(shè)備帶來的不斷擴大的網(wǎng)絡(luò)攻擊面。在傳統(tǒng)信息安全的方法中，防御者圍繞其重要數(shù)據(jù)致力于構(gòu)建最好的防御體系。這種方法不僅缺乏靈活性，而且缺乏創(chuàng)造性，因為一旦突破防御邊界，其防御體系將遭到攻擊。就在今年一月，網(wǎng)絡(luò)攻擊者利用TeaVistor公司一名離職人員的帳戶的用戶名和密碼攻擊舊金山的一家水處理廠，網(wǎng)絡(luò)攻擊者通過遠程訪問和控制權(quán)刪除了飲用水處理程序。因此一旦進入企業(yè)的業(yè)務系統(tǒng)，網(wǎng)絡(luò)攻擊者能夠在系統(tǒng)內(nèi)任意攻擊，直到被安全人員發(fā)現(xiàn)。幸運的是，這家水處理廠沒有出現(xiàn)任何故障，但這只是對關(guān)鍵基礎(chǔ)設(shè)施的眾多攻擊事例之一。

使問題更加復雜的是，企業(yè)需要能夠在多個位置、由許多不同的人員和設(shè)備安全地共享信息，而這正是靈活性和創(chuàng)造性發(fā)揮作用的地方。將關(guān)注的重點放在關(guān)鍵基礎(chǔ)設(shè)施上，目前各行業(yè)的遠程工作者都在使用一些應用程序，他們的應用程序繞過安全控制措施，直接與相關(guān)系統(tǒng)協(xié)同工作。移動設(shè)備已經(jīng)成為通信領(lǐng)域運營商的關(guān)鍵接入點。雖然它們可以幫助企業(yè)員工在遠程工作的情況下進行實時調(diào)整，但也為網(wǎng)絡(luò)攻擊者提供了更多的攻擊機會。

為了實現(xiàn)網(wǎng)絡(luò)安全思維方式的重大轉(zhuǎn)變，信息安全主管必須改變依賴于對攻擊進行反應的傳統(tǒng)安全戰(zhàn)略。這包括對攻擊事件的反應，其策略是基于應用程序、身份和訪問管理器以及顯示在控制臺上并提供反應信息的數(shù)據(jù)庫構(gòu)建的。

行為分析如何保護設(shè)備

處理網(wǎng)絡(luò)威脅更有效的方法是開展行為分析。通過行為分析，企業(yè)可以識別惡意設(shè)備、權(quán)限提升嘗試、橫向移動、惡意軟件命令和控制事件，以及其他類型的威脅行為。

例如，在網(wǎng)絡(luò)攻擊者在業(yè)務系統(tǒng)中橫向移動的情況下，可以識別并適當分析可疑行為。可以標記和評估橫向移動示例，其中包括嘗試訪問很少有用戶訪問的共享驅(qū)動器，訪問最近未被任何人訪問的資源，或者訪問共享驅(qū)動器的頻率高于過去訪問的頻率。

可以標記、評估和響應的與數(shù)據(jù)相關(guān)的行為將標記為數(shù)據(jù)泄露，通常是計算機將高于平均數(shù)量的數(shù)據(jù)發(fā)送到某個目的地或用于進行高于平均數(shù)量的數(shù)據(jù)過濾。

當用戶嘗試使用用戶、計算機或其他任何人最近未使用的服務或特權(quán)進程時，也可能觸發(fā)警報。

通過行為分析和監(jiān)控保護設(shè)備的關(guān)鍵方法

通過優(yōu)先考慮敏捷性的方法，重要數(shù)據(jù)被置于顯眼的位置(就像珍稀物品在博物館中的展示方式一樣)，但對這些數(shù)據(jù)的訪問受到嚴格控制，并密切監(jiān)控重要數(shù)據(jù)周圍的行為和活動。實施訪問控制允許企業(yè)隨著條件的變化改變哪些人員可以訪問的權(quán)限。例如，新員工需要獲得一些訪問權(quán)限，而離職員工的訪問權(quán)限則需要全部撤銷。通過密切監(jiān)視圍繞知識產(chǎn)權(quán)的活動，可以檢測到異常行為。

當今可用的工具使網(wǎng)絡(luò)防御者不僅可以監(jiān)控人員的行為，還可以監(jiān)控事物的行為。為控制用戶對資源的訪問而開發(fā)的模型可以同時用于控制事物對資源的訪問以及可能導致數(shù)據(jù)泄露的設(shè)備。

物聯(lián)網(wǎng)設(shè)備如果發(fā)出異常命令，可能表明已被入侵。同樣，來自物聯(lián)網(wǎng)設(shè)備的異常事件峰值或異常數(shù)量的失敗身份驗證嘗試也可能出現(xiàn)。異常時間的設(shè)備活動、與異常目的地的連接、異常數(shù)量的網(wǎng)絡(luò)連接都是可以監(jiān)控和評估異常行為的示例。

隨著越來越多的企業(yè)采用物聯(lián)網(wǎng)設(shè)備的行為分析軟件，他們將超越傳統(tǒng)的“防御邊界”策略，并能夠更好地阻止網(wǎng)絡(luò)攻擊，同時檢測內(nèi)部威脅。到目前為止，應對已知威脅相對容易，采用這種新模式將幫助企業(yè)更好地應對未知威脅，并幫助他們在這樣做時變得更有彈性。應對網(wǎng)絡(luò)安全問題的最后一個障礙在于轉(zhuǎn)變整體的網(wǎng)絡(luò)安全思維。