很多企业如今已经能够响应并很好地处理已知的网络安全威胁,而应对未知威胁将使企业的业务运营更具弹性。网络安全市场是否能够真正保护通过物联网连接和传输数据的数十亿台物联网设备?这是一个关键问题,而人们信任与工作和生活密切相关的物联网设备这一基本认识强调了这一点。
更重要的是,越来越多的物联网设备连接到云端,更直接地利用基于云计算的存储为网络攻击者创造了新的攻击渠道。 在不久的将来,这些设备将支持 5G 技术,这使得连接到网络而不是 Wi-Fi 路由器的物联网设备更难以进行监控和保护。
传统网络安全措施使物联网设备易受攻击
当涉及到物联网时,处理信息安全威胁的传统方法难以满足要求。在传统安全策略中长期依赖的传统防御边界不再能够妥善维护网络安全,因为越来越多的企业转向分布式环境。
传统的信息安全方法也缺乏灵活性,无法应对日益增长的物联网设备带来的不断扩大的网络攻击面。在传统信息安全的方法中,防御者围绕其重要数据致力于构建最好的防御体系。这种方法不仅缺乏灵活性,而且缺乏创造性,因为一旦突破防御边界,其防御体系将遭到攻击。就在今年一月,网络攻击者利用 TeaVistor 公司一名离职人员的账户的用户名和密码攻击旧金山的一家水处理厂,网络攻击者通过远程访问和控制权删除了饮用水处理程序。因此一旦进入企业的业务系统,网络攻击者能够在系统内任意攻击,直到被安全人员发现。幸运的是,这家水处理厂没有出现任何故障,但这只是对关键基础设施的众多攻击事例之一。
使问题更加复杂的是,企业需要能够在多个位置、由许多不同的人员和设备安全地共享信息,而这正是灵活性和创造性发挥作用的地方。将关注的重点放在关键基础设施上,目前各行业的远程工作者都在使用一些应用程序,他们的应用程序绕过安全控制措施,直接与相关系统协同工作。移动设备已经成为通信领域运营商的关键接入点。虽然它们可以帮助企业员工在远程工作的情况下进行实时调整,但也为网络攻击者提供了更多的攻击机会。
为了实现网络安全思维方式的重大转变,信息安全主管必须改变依赖于对攻击进行反应的传统安全战略。这包括对攻击事件的反应,其策略是基于应用程序、身份和访问管理器以及显示在控制台上并提供反应信息的数据库构建的。
行为分析如何保护设备?
处理网络威胁更有效的方法是开展行为分析。通过行为分析,企业可以识别恶意设备、权限提升尝试、横向移动、恶意软件命令和控制事件,以及其他类型的威胁行为。
例如,在网络攻击者在业务系统中横向移动的情况下,可以识别并适当分析可疑行为。可以标记和评估横向移动示例,其中包括尝试访问很少有用户访问的共享驱动器,访问最近未被任何人访问的资源,或者访问共享驱动器的频率高于过去访问的频率。
可以标记、评估和响应的与数据相关的行为将标记为数据泄露,通常是计算机将高于平均数量的数据发送到某个目的地或用于进行高于平均数量的数据过滤。
当用户尝试使用用户、计算机或其他任何人最近未使用的服务或特权进程时,也可能触发警报。
通过行为分析和监控保护设备的关键方法
通过优先考虑敏捷性的方法,重要数据被置于显眼的位置 (就像珍稀物品在博物馆中的展示方式一样),但对这些数据的访问受到严格控制,并密切监控重要数据周围的行为和活动。实施访问控制允许企业随着条件的变化改变哪些人员可以访问的权限。例如,新员工需要获得一些访问权限,而离职员工的访问权限则需要全部撤销。通过密切监视围绕知识产权的活动,可以检测到异常行为。
当今可用的工具使网络防御者不仅可以监控人员的行为,还可以监控事物的行为。为控制用户对资源的访问而开发的模型可以同时用于控制事物对资源的访问以及可能导致数据泄露的设备。
物联网设备如果发出异常命令,可能表明已被入侵。同样,来自物联网设备的异常事件峰值或异常数量的失败身份验证尝试也可能出现。异常时间的设备活动、与异常目的地的连接、异常数量的网络连接都是可以监控和评估异常行为的示例。
随着越来越多的企业采用物联网设备的行为分析软件,他们将超越传统的 “防御边界” 策略,并能够更好地阻止网络攻击,同时检测内部威胁。到目前为止,应对已知威胁相对容易,采用这种新模式将帮助企业更好地应对未知威胁,并帮助他们在这样做时变得更有弹性。应对网络安全问题的最后一个障碍在于转变整体的网络安全思维。