微分段能為IoT安全帶來什么？

■ 北京 李賀

IoT（物聯網）的發展有望為組織帶來一系列好處，例如對企業資產和成品性能的更深刻的認識，可以改進制造流程以及改善客戶服務等。但現如今，與IoT相關的安全問題仍然是組織最重要的關注點，在某些情況下，可能會使組織因安全問題而難以繼續推進相關的IoT計劃。

在這其中，微分段（Microsegmentation）是解決（至少部分解決）IoT安全風險的一種可能的解決方案，微分段是一種網絡概念，其每個網絡僅有兩個端站，提供了基于精細分組的安全隔離，可以使端站之間不會產生沖突，可幫助控制IoT環境。

通過微分段，組織可以在其數據中心和云環境中創建安全區域，使它們能夠將工作負載彼此隔離并分別予以保護。在IoT環境中，微分段可以繞過圍繞邊界部署的安全工具，從而使組織能夠更好地控制設備之間不斷增加的橫向流量。

對于組織而言，將微分段用于IoT仍處于發展初期，但很多行業專家認為，考慮到IoT發展的潛力，可能促使組織采用微分段來提供比傳統防火墻更精細、更簡便的防護。

IoT帶來新的安全風險

IoT安全風險可能包括涉及連接設備、支持IoT的軟件以及相關IoT網絡在內的多種威脅。

而隨著IoT設備的迅速增多，這些設備的安全風險也越來越嚴峻。根據研究公司Ponemon Institute和風險管理服務公司The Santa Fe Group的報告，自2017年以來，與IoT相關的數據泄露事件急劇增加。更為嚴峻的是，大多數組織并不了解其IT環境中或來自第三方供應商的每一個不安全的IoT設備或應用。Ponemon的研究表明，許多組織沒有解決或管理IoT風險的集中責任制，并且大多數人認為他們的數據將在未來24個月內遭到破壞。

IoT安全風險對于醫療保健等行業而言可能尤其高，因為設備會通過網絡收集和共享大量敏感信息。據國外一家調研公司Vanson Bourne調查的232個醫療保健組織中，有82%的人在過去一年中經歷了以IoT為中心的網絡攻擊。當被要求確定醫療機構中最突出的漏洞在哪里時，被引用頻率最高的是網絡（50%），其次是移動設備和附屬應用（45%），以及IoT設備（42%）。

微分段如何幫助IoT安全

微分段將使網絡安全更加精細。有些安全工具或解決方案（例如下一代防火墻、VLAN及ACL）提供了一定程度的網絡分段。但是通過微分段，可以將安全策略應用于單個工作負載，以提供更好的安全防御。與VLAN等產品相比，這可以提供更細粒度的流量分段。

推動微分段市場發展的因素是SDN（軟件定義網絡）和網絡虛擬化的出現。與那些未與底層硬件分離的軟件相比，通過使用與網絡硬件分離的軟件，分段更容易實現。

由于微分段提供了比諸如防火墻之類的邊界安全產品更大的數據中心流量控制能力，因此它可以阻止外部攻擊者進入網絡進行破壞。

細分也有管理上的好處。市場調研公司IDC的IoT安全分析師Robyn Westervelt表示：“如果可以正確地實現微分段，則可以在IoT設備與其他敏感資源之間添加一層安全保護，從而不至于在防火墻上造成漏洞。但是底層的基礎架構必須支持這種方法，并且可能需要安裝新的現代交換機與網關等。”

出于安全或隱私等原因將網絡劃分為多個部分這一概念其實并不新鮮。很多組織早已經對一些關鍵或高風險資源實現隔離了。

例如，網絡分段在零售領域就很普遍。許多商家將其支付環境與其他網絡流量隔離開來，以減少相關支付風險。

但這并不是萬無一失的，因為正如我們在零售商Target的數據泄露事件中所看到的，攻擊者可以找到從一個系統跳到另一個系統的途徑來實施攻擊。這樣做有很大難度，也需要更多的技術技巧和資源，雖然很少有攻擊者出于經濟動機去實施攻擊，但這并不表示沒有人進行網絡攻擊。

分段還可用于隔離虛擬環境中的關鍵應用工作負載。通過這種方式，組織可以對關鍵工作負載設置更嚴格的控制，并密切監視訪問和更改操作。

該技術也被認為是工業控制系統環境中的最佳實踐。組織可以使用工業防火墻和單向網關隔離涉及敏感信息的關鍵可編程邏輯控制器。

在IT環境中，可以對具有Internet連接的新部署的操作技術（OT）進行分段，以防止攻擊者將OT作為跳板對生產系統發起攻擊。這就是微分段與IoT相關的地方。

相關專家表示，將微分段作為廣泛的IoT安全策略的一部分進行部署可能很有意義。

這種網絡模型可以對網絡系統進行更精細的控制，并在存在安全漏洞的情況下實現更好的隔離。這些好處不僅可以幫助改善安全可見性和控制力，而且還可以改善事件響應和取證。

Gartner公司的分析師Jon Amato表示，這項技術可能是從IT系統中分割IoT網絡的一種非常有效的方法。微分段產品創建“虛擬段”的能力非常有用，這種虛擬段可以將設備類型彼此分離，甚至跨越多個物理位置。

鑒于IoT設備的廣泛使用，以及與IoT設備可能出現中斷相關的風險，IoT用戶，尤其是在工業環境中，應慎重考慮是否需要持續的網絡連接。IoT用戶還可以通過謹慎地連接，權衡好IoT設備可能發生的故障風險與限制連接到互聯網所帶來的成本問題，來幫助遏制網絡連接帶來的潛在威脅。

微分段非常符合以上建議。僅形成單個IoT細分市場，并將這些設備彼此分割還遠遠不夠。而且，大多數IoT設備缺少基于主機的控件，因此，只能使用微分段等外部解決方案來完成此任務。

IoT安全的微分段發展緩慢

盡管在IoT安全領域，微分段具有潛在的優勢，但迄今為止，似乎以微分段技術實現IoT安全并未得到廣泛采用。只有那些已經擁有成熟的IoT安全計劃或將其現有程序擴展到IoT領域的組織才實施微分段。

對于大多數組織來說，它們現在所能做到最好的方式是將IT和IoT彼此分開。而實現IoT微分段的要少得多。

對于構建IoT基礎架構的組織來說，考慮它們是否真的需要微分段以確保IoT安全非常重要。

組織必須確定當前的風險級別和業務流程，畢竟每一項新技術或控制都會帶來意想不到的后果。例如與零信任模型相關的其他復雜性是否會影響組織的安全計劃？

一個好的做法是徹底地了解IoT將如何影響組織中的所有網絡，以便確定數據安全傳輸的最佳方法。

制定安全標準和策略不僅是要可執行的，而且是需要強制執行的（包括IoT）。如果以基于風險的理念進行實施，并將網絡復雜性降至最低，那么組織就可能控制好自身的IoT環境。