企业网络正涌现越来越多的“智能”设备和工业传感器,但如果没有部署反恶意软件,或者集中配置管理,企业将很难保证端点安全性。很多设备(例如智能电表或监控系统中使用的数字视频录像机)没有连接到企业访问控制或库存系统和修复机制。因此,企业必须想办法保护物联网(IoT)和BYOD设备,他们可以利用基于网络的控制,这种控制可以扩展且可通过现有工具进行集中管理。
对于数据安全和风险管理,执行库存控制的政策和技术非常重要。同时,动态主机配置协议(DHCP)可以有效管理大多数联网设备,DHCP是用于自动化IP参数的网络协议。除分发IP地址和DNS设置外,DHCP还可以做很多工作,但它对附加功能的支持参差不齐。在某些情况下,固件更新和配置可以发送到设备,而DHCP是通知这些文件的位置的关键。
DHCP日志和租约文件也可以提供相当不错的库存管理。部署库存控制政策的常用技术是,限制DHCP到已知设备,或使用它来分离新设备到子网。DHCP服务器配置应该始终绑定回IP地址管理和库存控制系统。图1显示了DHCP日志的样本,其中包括请求地址的设备的名称。
DHCP日志
DHCPREQUEST for 192.0.2.1 from 00:24:e4:dd:ee:ff (WSD-5CA8) via re1
DHCPREQUEST for 192.0.2.2 from 24:a4:3c:aa:bb:cc (unifac) via re1_vlan2
DHCPREQUEST for 192.0.2.3 from 70:3e:ac:11:22:33 (iPhone) via re1
除了DHCP日志,与使用IP的其他计算机系统一样,设备需要DNS进行IP地址管理。虽然DNS出现的部分原因是让人们不必记住IP地址;而对于设备而言,DNS在于允许制造商保留API的静态主机名,API会解析到不同或多个IP地址。DNS请求可以用来协助盘点设备—这些查询可以指示设备的类型以及如何使用。
DNS请求
query: netcom.netatmo.net IN A + (10.5.0.86)
query: api.parse.com IN A + (fd14:5d44:4428:1::35)
query: scalews.withings.net IN A + (10.5.0.86)
防火墙挑战
所幸的是,大多数这些设备不必接受网络边界以外的未经请求的连接。不过,很多系统仍然需要建立出站连接。
限制这些连接很麻烦,特别是当设备要连接到云服务或内容分发网络时。在这些情况下,企业很难建立合理的防火墙规则。通过HTTP连接,企业可以代理这些连接,并检查发送和接收的数据,以试图避免数据泄露和检测该设备检索的恶意代码。
很多设备仍然使用网络时间协议(NTP)来同步基于数据包的网络中的计算机时钟时间,该协议通常作为传感器而被忽略。在某些情况下,设备使用预先设置的NTP服务器,而服务器可能会指示哪个设备正在发送NTP请求。有些系统可能尝试连接到通过DHCP分配的NTP服务器。
大多数安全团队能够访问这些类型的基于网络的控制。为了为物联网开发更好的安全流程,企业需要做的是利用这些现有工具来开始寻找这些设备有关的潜在事件,以及执行库存控制政策。