探索中国CIO人才现状 | 第四季调研报告
用网络解决IoT安全问题
2015-08-17  来源:techtarget

我们也许很难找到比Bruce Perrin更热衷于物联网的人。

Phenix Energy Group公司正在整个中美洲构建原油管道,该公司首席运营官兼代理首席信息官Perrin希望整合“物联网”到“所有可以想象的环境”。这意味着,不再是员工带着钥匙卡或PIN码在整个建筑物中走动,楼宇访问将通过面部识别软件来控制。

Perrin认为,企业物联网是提高运营效率和减少人为错误的关键。对于该公司而言,这些目标有些紧急,该公司需要在18个月内铺设220英里陆地和海底管道,以及在6个月内构建其支持的油库。除了时间期限的压力外,还不允许有一点闪失。Perrin估计,每分钟的停机将让该公司损失1.8万美元。全面的系统故障将需要9个小时才能恢复,而这将让该公司收入损失900万美元。

“我们希望在重复工作中剔出人类的因素,”Perrin表示,“这就是说让重复的工作自动进行,让我可以完成真正的工作。”

但即使作为物联网最大的冠军之一,Perrin敏锐地意识到增加数百非传统设备到其网络的风险——设备运行不同的操作系统,使用任意数量的专有协议,并且通常没有资源支持高级安全配置。这些担忧塑造了他的网络设计和采购策略。

“我们正在采取沙箱的做法,可能达到几乎不合逻辑的程度,”Perrin称,“但首席执行官有天对我说,‘如果人们进来这里,并开始乱弄我们的系统,我们做的第一件事情就是把你的头钉在墙上,然后用别人去替代你。’我不喜欢这种想法,他是个好人,但我可不想被他钉在墙上。”

在消费者市场的“吓人的事故”包括攻击婴儿监视器、攻击联网汽车以及对智能家庭的意外拒绝服务攻击,随着IT部门将这些物联网项目转移到其实验室和生产环境,有关企业物联网安全风险的讨论越来越多。

根据Verizon2015年数据泄露事故调查报告指出,现在已经发生了针对企业的“不广为人知的物联网设备数据泄露事故”,该报告称到目前为止报告的漏洞都已经被研究人员发现。然而,物联网迅速移动的性质以及更广泛的威胁形式意味着,这可能在任何时刻发生改变。网络专业人员称他们很担心,在参与TechTarget2015年采购意向调查的受访者中,60%认为安全是IoT面临的最大挑战之一。

Phenix Energy公司首席治理官John Becker表示,IoT威胁的严重程度已经大大言过其实,但这并没有阻止Phenix等公司加强其安全努力。

“我们看到很多关于IoT的新闻真的是危言耸听,”Becker说道,“我认为底线是我们需要关注系统是如何设计的。”

危险在哪里?

人们很容易这样看待IoT:灯泡或HVAC系统不能运行防病毒软件,所以IoT一定有风险。但信息安全培训和认证公司SANS研究所主管John Pescatore表示,这是一个过于简单的观点。

“你知道还有什么不能运行防病毒软件吗?iPhone,而且iPhone没有感染病毒,”Pescatore称,“因此,每当你听到有人说,‘噢,你不能在那上面运行防病毒软件,’你应该说,‘是的!’因为这通常意味着病毒也不会在上面运行,因为防病毒软件本质上是一个工具包。”

在某些情况下,IoT设备在设计前期就有考虑安全因素,这是比电脑和服务器原有操作系统设计时更深思熟虑的做法。

虽然企业IoT设备可能最终成为吸引攻击者的目标,但这并不是因为他们想要打开和关闭灯光。

“我会担心HVAC或传感器本身作为攻击切入点——让攻击者可以进来并攻击我的系统,”啤酒分销商Del Papa Distributing公司IT副总裁Steve Holtsclaw表示,“任何有IP地址的东西都可能以某种方式被攻击。”该公司已经在其仓库和卡车内部署了IoT设备。

IDC公司研究主管Pete Lindstrom表示,这些威胁无法通过传统安全方法来缓解。

“我们陷入框架控制,但我们在打之前的战役,这是一个不同的环境,”Lindstrom表示,“我们需要对后端进行更好的分析。”

这意味着所有目光都聚集在网络,希望网络来发挥引领作用。

“我们常说,‘你们必须使用这个操作系统,而由于你使用那个操作系统,我认为你需要使用这个安全软件。’在物联网时代,这种日子已经结束,”Pescatore表示,“当你不能把任何东西放在终端时,你可以从网络做更多的安全操作。”

可见性和管理挑战

你需要知道你网络上有什么才能保护它们。这听起来很简单,但对于很多IT部门来说,找到和关闭流氓设备是无休止的工作,而物联网更是增加了工作难度,因为很多漏洞管理系统可以识别“Bob的iPad”或“Carol的戴尔笔记本电脑”,但无法识别联网的空调或门锁。

Pescatore称:“在物联网中,大家需要解决的第一个问题是能够发现这些设备。”

他最近采访了新英格兰大学的首席信息安全官,该CISO发现在该大学刚搬进的建筑物中有300个流氓设备。他的漏洞扫面软件无法识别这些终端,他的团队手动追踪这些终端,并发现它们大多数是以前的房客留下的联网设备,例如温度传感器和摄像头。

“不幸的是,大多数现在做的工作都是‘不要问,不会说’,有点像Wi-Fi的早期时候。这就像,‘天哪,如果我开始寻找,我会发现某个东西,然后我必须做一些工作,’”Pescatore表示,“那些在BYOD安全做得最好的企业实际上也能够确保物联网的最佳安全性,因为他们采用某种形式的网络接入控制,当设备连接到其网络时,他们可以检测得到。”

除了缺乏可视性外,还有另一个问题:物联网设备制造商本身之间的差异化。

美国休斯顿卫理公会医院无线网络架构师George Stefanick对在医疗环境使用物联网的可能性很感兴趣。他的团队正在对一款移动应用进行概念证明,该应用可使用蓝牙信标和Wi-Fi来识别病人到达医院、检查他到达约定地点,并给他提供到其医生办公室的导航。

尽管建立网络来支持这些举措具有挑战性,但这是Stefanick熟悉的领域。更大的障碍是评估和管理各种物联网平台。

“我们不应该使用来自10个不同供应商的10种不同设备,但现在正是这样,”他说道,“我们真的希望在单窗格管理这些设备。”

与PC和智能手机操作系统市场不同,IoT平台预计不会整合。其结果是:企业越来越难以采用统一的安全方法。

“每个供应商都有专用通信方法,并且,为了与其他公司的组件竞争,他们必须开放其部分功能来与其他设备通信,”Phenix Energy公司的Perrin表示,“这会带来很多漏洞,因为每次你打开某个事物的端口,你就等于打开一个门让攻击者可以进来。”

Del Papa公司的Holtsclaw运行的企业IoT环境主要基于思科的设备,但他也同样在关注这个问题。

“你使用所有这些设备,它们运行在各种平台——Linux、Unix、Windows、Android、iOS,并且,它们都在使用不同类型的通信协议,”他表示,“你如何控制这一切?你如何管理?如何确保安全性?”

通过网络解决IoT安全

IoT带来了新的挑战,但网络安全领域很多经典的最佳做法仍然适用,包括分隔、基于区域的政策和关闭杂散端口,其他措施则取决于企业的风险承受能力以及IT部门的文化。现在管理IoT环境的企业需要从各种角度来解决威胁,包括从专注于身份验证标准到完全锁定第三方网络设备的使用战略等。

在休斯顿卫理公会医院,Stefanick发现IoT供应商对802.1x的支持不一致,这是使用可扩展身份验证协议(EAP)的企业级无线身份验证标准。作为一位无线工程师,他发现使用802.1x的IoT设备。

“当你看到这些涌入的物联网设备,我们发现他们都在使用预共享密钥,”Stefanick称,“我们实际上不得不创建测试网络进行概念证明,这种方式并不是很安全。我们的反馈是,‘我们不可能购买这个东西,除非你能提高安全性,并且,我们需要EAP身份验证来做到这一点。’”

IoT设备制造商需要告知企业其产品与网络的交互方式。

在看到供应商兜售所谓的具有消费级安全功能的企业设备后,Perrin采取了同样谨慎的态度,并且,与Stefanick一样,Perrin也避免使用云计算方式来维持更严格的控制。

而Phenix公司则采取了更积极的做法,其位于Honduras的办公室和数据中心通过10 Gbps私有光纤连接到Palm港的冗余站点。在Honduras办公室只有两个端口开放:一个用于电话,另一个用于基于互联网的业务活动。Perrin还阻止了网络钓鱼活动率高的国家(例如巴西)的所有流量。

“我们正在进行有效地切断,我们已经看到企业过来说,‘我们与你们合作的唯一方式是你为我们打开一个端口,’我们告诉他们,‘感谢您的光缆,请不要再来打扰我们,’”他表示,“我们不会为他们打开端口,因为我们不能冒这个险。”

Perrin也不会在工业设备和物联网设备所在的管道使用铜缆。

“我们使用光纤是因为你不能通过切断它来制造破坏,”他表示,“当然,切断会立即告诉我们的系统和物联网设备发生了异常情况,并且会立即关闭流经该管道以及冗余光纤链接的数据流。”

在Del Papa,联网的传感器监控照明、库存和问题——降低电力成本,并确保啤酒的库存和冷却正常。在仓库货架的传感器会检测某处是否库存偏低,这会触发电子邮件警报来增加库存。该公司卡车中的其他传感器则可配置为报告员工是否在超速驾驶。

面对这么多关键操作,Holtsclaw表示,安全仍然是一个巨大的问题。他目前正在测试来自戴尔和英特尔的IoT网关,其功能是作为其IoT设备和互联网之间的单个接入点。

“这可以防止外部流量进入网络内的这些设备,并与网关通信,”Holtsclaw表示,“我认为这是IoT安全方面的关键因素。”