物聯(lián)網(wǎng)格局和威脅

考慮到物聯(lián)網(wǎng)設(shè)備固有的不安全性，企業(yè)當(dāng)今面臨更多的威脅，而安全防御措施薄弱的物聯(lián)網(wǎng)設(shè)備通常作為第一道防線。這尤其令人擔(dān)憂，因?yàn)樵谛袠I(yè)調(diào)查中，有94%的首席信息官承認(rèn)，他們的運(yùn)營(yíng)環(huán)境將在未來(lái)一年內(nèi)面臨一些嚴(yán)重威脅。

從以下這些擔(dān)憂中可以看出：

• 將近一半的首席信息官將違規(guī)視為最大的風(fēng)險(xiǎn)。
• 39%的首席信息官認(rèn)為惡意軟件和勒索軟件是他們面臨的最大風(fēng)險(xiǎn)。
• 27%的首席信息官表示恢復(fù)力是三大優(yōu)先事項(xiàng)之一。
• 68%的IT和安全專業(yè)人員計(jì)劃使用零信任來(lái)確保設(shè)備安全;42%的受訪者表示已經(jīng)在這樣做。

一些影響物聯(lián)網(wǎng)的具體風(fēng)險(xiǎn)包括：

(1)內(nèi)置漏洞：物聯(lián)網(wǎng)設(shè)備通常專門為消費(fèi)者使用，沒有采用企業(yè)級(jí)加密或安全控制措施。

(2)基于人工智能的攻擊：基于機(jī)器人的攻擊越來(lái)越善于模仿用戶行為，更容易突破許多物聯(lián)網(wǎng)設(shè)備較弱的安全防御措施。

(3)訪問(wèn)控制中的Deepfakes：現(xiàn)在能夠?qū)κ謾C(jī)上的指紋生物特征進(jìn)行暴力破解。

(4)更復(fù)雜的攻擊方法：隨著攻擊者開始專注于某些領(lǐng)域(社交工程和圖形設(shè)計(jì))，對(duì)物聯(lián)網(wǎng)的攻擊將變得更先進(jìn)，更難防御。

(5)隱藏的民族國(guó)家攻擊：由于物聯(lián)網(wǎng)設(shè)備防御不力導(dǎo)致成功的網(wǎng)絡(luò)攻擊，民族國(guó)家將越來(lái)越多地雇用網(wǎng)絡(luò)攻擊者來(lái)利用物聯(lián)網(wǎng)設(shè)備滲透并訪問(wèn)更重要的設(shè)施。

考慮到2025年底全球使用的物聯(lián)網(wǎng)設(shè)備將超過(guò)640億臺(tái)，如果不保護(hù)構(gòu)成物聯(lián)網(wǎng)中的所有設(shè)備，就不可能保護(hù)企業(yè)的業(yè)務(wù)安全，并實(shí)現(xiàn)零信任環(huán)境。

為什么設(shè)備的零信任很重要

調(diào)研機(jī)構(gòu)Gartner公司預(yù)測(cè)，到2025年，99%的云安全故障都是客戶導(dǎo)致的。這意味著保護(hù)與其連接的設(shè)備的責(zé)任完全由用戶自己承擔(dān)。

為此企業(yè)可以建立基于身份的零信任策略。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)將零信任定義為“一系列概念和想法，旨在在信息系統(tǒng)和服務(wù)中面對(duì)被視為受損的網(wǎng)絡(luò)時(shí)，最大限度地減少執(zhí)行準(zhǔn)確的和最低權(quán)限的訪問(wèn)決策的不確定性?！?/p>

在以身份為中心的方法中，人員和機(jī)器身份是安全策略創(chuàng)建的核心，具有基于分配屬性的訪問(wèn)控制和策略。在這種情況下，訪問(wèn)企業(yè)數(shù)據(jù)和資源的主要要求是基于授予請(qǐng)求用戶或機(jī)器的訪問(wèn)權(quán)限。因此，零信任是基于驗(yàn)證請(qǐng)求機(jī)器身份的加密控制建立的。

保護(hù)物聯(lián)網(wǎng)設(shè)備是確保云訪問(wèn)安全的關(guān)鍵

數(shù)據(jù)和隱私專家Ambler Jackson解釋說(shuō)：“如果網(wǎng)絡(luò)犯罪分子破壞設(shè)備并獲得企業(yè)云計(jì)算環(huán)境的訪問(wèn)權(quán)，他們可以竊取數(shù)據(jù)、進(jìn)行勒索軟件攻擊或進(jìn)行惡意軟件活動(dòng)。為了防止這種情況，企業(yè)必須能夠看到所有連接的設(shè)備，并能夠在允許訪問(wèn)云計(jì)算資源之前驗(yàn)證其身份?！?/p>

正如Venafi公司安全專家Ivan Wallis所說(shuō)，“在云計(jì)算平臺(tái)等按需使用的環(huán)境中，零信任引導(dǎo)系統(tǒng)需要一開始就擁有身份。在這種以機(jī)器為中心的世界中，人員作為檢查點(diǎn)沒有意義，這是因?yàn)槿藗儾荒茉俅致缘丶僭O(shè)應(yīng)該信任哪些外部系統(tǒng)。從這個(gè)意義上說(shuō)，零信任自動(dòng)假定機(jī)器上不允許給定的活動(dòng)，除非它在用戶和功能可接受的安全參數(shù)范圍內(nèi)?！?/p>

因此，基于安全數(shù)字身份(而非一般外部系統(tǒng))的信任成為在云平臺(tái)中和整個(gè)生態(tài)系統(tǒng)中建立真正零信任的關(guān)鍵。

用于物聯(lián)網(wǎng)設(shè)備的機(jī)器身份識(shí)別與訪問(wèn)管理(IAM)

Jackson說(shuō)，“為了實(shí)施零信任戰(zhàn)略，擁有成熟網(wǎng)絡(luò)安全計(jì)劃的企業(yè)需要使用機(jī)器身份管理。驗(yàn)證設(shè)備或機(jī)器的身份是保護(hù)對(duì)企業(yè)資源訪問(wèn)的基礎(chǔ)，其中包括在云中處理數(shù)據(jù)的工作負(fù)載?！痹诋?dāng)今的威脅經(jīng)濟(jì)中，沒有機(jī)器身份管理就不可能實(shí)現(xiàn)零信任。

在每個(gè)物聯(lián)網(wǎng)設(shè)備中都有數(shù)以千計(jì)的機(jī)器身份或因素來(lái)確定其身份以及是否可以信任它。正如安全專家David Bisson所說(shuō)，“機(jī)器身份識(shí)別與訪問(wèn)管理(IAM)可以幫助企業(yè)評(píng)估他們對(duì)機(jī)器身份的信任程度，其中包括憑據(jù)，例如機(jī)密、加密密鑰、X.509和代碼簽名證書以及SSH鑰匙。”

Wallis表示，加密密鑰和數(shù)字證書用于識(shí)別機(jī)器并確定特定的信任級(jí)別。但這只有在有辦法確保這些機(jī)器身份的完整性時(shí)才有效。

全面的機(jī)器身份管理策略允許安全團(tuán)隊(duì)：

• 實(shí)現(xiàn)所有已經(jīng)部署機(jī)器身份的可見性。
• 確保所有權(quán)和治理。
• 保護(hù)相關(guān)的加密密鑰。
• 自動(dòng)分配密鑰。