在过去十年中,技术一直以惊人的速度发展。这是设计万无一失的物联网网络安全策略的方法。

快速发展的领域之一是 物联网 (IoT)。物联网只是意味着可以通过互联网连接进行通信的已连接硬件设备的网络。物联网网络通过减少人员参与简化了许多流程和任务。

物联网在企业中的兴起

尽管物联网已经成为家庭中的普遍概念,但企业使用才刚刚开始增加。随之而来的是需要改进 物联网网络安全.

麦肯锡的 报告 显示,企业级物联网技术的采用率已从2014年的13%增加到2019年的25%。同一份报告预测,到2023年,连接设备的数量预计将猛增至430亿个。在那里连接的设备在2018年已连接。

这是不可避免的。物联网正在成为企业运营中的重要组成部分。但是物联网的兴起带来了一个警告— increased 网络安全风险.

这就是为什么您必须设计一个万无一失的物联网网络安全策略。  

物联网网络安全的挑战

物联网网络安全是大多数CISO和CIO的噩梦。与简单(或多或少)的传统IT网络安全不同,保护物联网环境面临许多挑战。

物联网的最大问题之一是每个设备都带有自己的软件和固件。在大多数情况下,更新这些内容很困难。如您所知,软件更新是维护良好网络安全卫生的一部分。这给物联网带来了一个巨大的问题,因为添加的每行新代码或功能都可能引入新的攻击媒介。大规模进行和监视更新几乎是不可能的。

另一个挑战是,大多数物联网设备不支持第三方端点安全解决方案。原因之一是围绕设备的法规(例如FDA的医疗设备法规)。结果,企业最终将其安全性集中在设备和网络之间的通信通道上。

在企业一级, 连接的设备 太大而无法跟踪。您可能会浪费宝贵的时间和资源来浪费时间,只是为了保持所有设备的更新。仅凭这一点,您就可以承受来自其他方向的攻击。

企业级物联网网络安全解决方案的需求

创新和效率的需求是 推动物联网采用的增长 在企业级别。 业务成长 如果不跟上当前的技术趋势,今天几乎是不可能的。

在网络安全方面,网络中拥有的设备越多,您越容易受到攻击。而且,由于企业可以大规模部署IoT设备和服务,因此遭受外部威胁的风险更高。

这就是为什么在您的企业中采用IoT时,您必须准备增强网络安全性。

由于网络中存在大量设备,因此必须认真对待物联网网络安全。这是因为单个受感染的设备可以感染并危害整个网络。结果,恶意代理可以访问敏感数据或控制您的操作。  

可靠的IoT网络安全的4个必备条件

由于恶意行为者可以利用许多入口点,因此物联网网络安全需要多层且可扩展的安全解决方案。以下是构建物联网网络安全策略时要考虑的一些主要组件。

  1. 使用下一代防火墙阻止攻击者

A 防火墙是一种网络安全 监视网络流量的设备。它可以基于一组安全规则和协议允许或阻止数据包访问您的设备。顾名思义,其目的是在内部网络与外部资源之间建立屏障。这样做可以防止黑客和其他网络威胁访问您的网络。

尽管存在许多不同类型的防火墙,但要使IoT网络安全策略有效,您必须使用下一代防火墙(NGFW)。基本防火墙仅查看数据包头,而NGFW包括深度数据包检查。这允许检查分组本身内的数据。结果,用户可以更有效地识别,分类或阻止带有恶意数据的数据包。

下一代防火墙是任何物联网网络安全策略的重要组成部分,因为它们可以有效地监控多个设备之间的流量。结果,仅允许经过验证的流量访问您的网络。

  1. 加密保护数据

物联网网络安全策略需要考虑的另一层安全性是加密。

A ZScaler研究 显示超过91.5%的企业交易是通过纯文本渠道进行的。这意味着只有8.5%的交易被加密。这令人担忧,因为这意味着黑客有巨大的机会访问企业系统并造成严重破坏。例如,他们可以启动 分布式拒绝服务 (DDoS)攻击 这可能会削弱您的业务。

防止恶意行为者访问网络的一种方法是使用加密保护数据。这必须同时适用于您的软件和硬件。但更重要的是,您必须使用加密的VPN解决方案来确保设备之间数据的安全传输。

  1. 身份和访问管理

最初为用户设计的身份和访问管理(IAM)安全解决方案是为用户设计的。 IAM确保只有经过授权的人员才能访问其工作所需的系统和信息。它还确保只有授权用户才能访问关键数据。

但是,随着物联网的发展,IAM(即声音管理)正在成为可以应用于设备的另一层安全保护。

就像人类一样,数字设备也具有身份。和 IAM工具 已经发展到可以管理成千上万个设备及其用户的地步。与像 AeroHive的A3,例如,IAM可以识别网络中的每台设备,并授予它们特定的访问控制。

对于企业物联网,管理所有连接设备的数字身份对于保护网络基础架构至关重要。更重要的是确保每个设备仅具有对数据的必需访问级别。 

  1. 网络细分

网络访问控制 自网络诞生以来(NAC)一直是网络安全的关键部分。到目前为止,它仍然是大多数网络安全策略不可或缺的一部分–尤其是物联网网络安全。 

关于的好事 传统网络端点 他们通常运行端点保护服务。但是,对于物联网,情况并非如此。这就是网络分段的作用。

建议使用NGFW将IoT网络与网络的其余部分进行分段,因为它将潜在威胁限制在受控环境中。例如,如果攻击者设法访问您的分段IoT网络中的设备,则威胁仅限于网络的该部分。    

放在一起–设计物联网网络安全策略

既然您已经看到了物联网网络安全的最佳选择,那么让我们快速了解一下 设计策略。但是,请注意,这并不是一成不变的指南,因为每个企业的网络安全需求都不尽相同。 

话虽如此,这里有一些指导原则可帮助您设计企业物联网网络安全策略: 

确定您需要保护的内容

有了安全协议和准则,实现万无一失的IoT网络安全的下一步就是确定需要保护的内容。这涉及对以下方面进行审核:

您的流程 

了解组织中最关键的流程至关重要,因为它使您能够知道将精力集中在哪里。大多数网络攻击的目标流程可能会削弱您的业务,因此请确保对这些流程有清晰的了解。知道他们是什么—知道如何保护。

您的设备 

从数据存储设备到有助于您进行处理的设备,您必须了解网络中的每台设备及其在您的操作中所处的位置。请记住,您的安全性仅与最容易受到攻击的设备一样。并且由于所有数据都是由设备存储和传输的,因此您必须投入更多的精力和时间来确保此处的安全性是万无一失的。

您的人员

一方面 网络安全许多组织 忽略的是他们的员工。您必须确保您的员工具有最新的网络安全协议和安全措施。不这样做可能会使您的员工在不知不觉中损害您的安全性。例如,一个雇员可以给另一个雇员一个密码,只是为了加快您的流程的速度。尽管这似乎像在工作时间玩游戏一样无害,—这是对安全协议的严重违反。

清楚地了解您的设备及其用户之间的连接方式对于了解网络中最脆弱的点至关重要。因此,您可以计划在每个点上可以实施哪些安全解决方案。

考虑合规

当然, 合规性并不是真正的安全问题,但它们确实并驾齐驱。因此,在规划IoT网络安全策略时,必须牢记合规性。

不合规是一个严重的问题,在您制定网络安全计划时必须解决。不遵守可能会导致您被罚款巨额罚款。

那么,合规性对网络安全到底意味着什么?

网络安全合规性涉及满足监管机构,法律或行业组织制定的各种控制措施。这些控制措施已经到位,以保护您与企业合作的数据的机密性,完整性和可用性。每个行业或部门的合规性要求都不同,这就是为什么您必须始终谨慎了解行业的特殊性的原因。

为确保您合规,请始终保持 合规计划 与您的网络安全策略一起运行。

了解并预见您的威胁

为了确保您设计出强大的物联网网络安全策略,您需要了解并 了解安全风险 你的脸。为此,请先提出以下问题来评估您的业务:

  • 你的产品是什么?
  • 谁是您的客户?

这些问题看似简单,但答案将帮助您回答两个基本问题:

这将帮助您缩小最有可能针对您的企业的攻击类型。

您还可以通过研究竞争对手来确定最有可能面临的威胁类型。注意他们的风险状况或您所在行业中最常见的违规行为。

了解您可能面临的威胁将有助于您了解必须采取的安全措施。毕竟,知道你的敌人是胜利的一半(所以他们说)。

确定所有这些因素后,下一步就是最关键的–选择您的网络安全框架。  

选择适当的网络安全框架

现在,我们已经奠定了基础,是时候通过选择和实施您偏爱的网络安全框架来进行实践了。本质上,网络安全框架是领先的网络安全组织推荐的一组策略和程序。这些框架增强了企业环境中的网络安全策略。必须为知识和实施程序记录网络安全框架。

不同行业设计和开发了不同的网络安全框架,以减少网络漏洞的风险和影响。

尽管网络安全框架从来都不相同,但是它们都必须解决网络安全的五个关键功能。

  1. 确认。您的框架必须帮助您确定业务环境中现有的网络接触点。
  2. 保护。此功能解决您如何处理访问控制,数据安全性和其他主动任务,以确保网络安全。
  3. 探测:这里,您的框架解决了如何识别任何潜在的违规行为。通常,通过在网络和设备级别监视日志和入侵检测过程来完成此操作。
  4. 回应。当检测到违规时您如何应对?您必须具有了解违规并修复漏洞的过程。
  5. 恢复。框架的此阶段涉及创建恢复计划,设计灾难恢复系统和备份计划。

有了涵盖这五个领域的网络安全框架,您的企业物联网网络安全战略将足够强大,足以处理(几乎)任何事情。 

正如我所说,您可以采用多种类型的网络安全框架。然而,据网络安全专家弗兰克·金(Frank Kim)称,其中大多数属于三类之一。让我们粗略地看一下它们,以便您更好地了解框架以及它们如何适合您的网络安全策略:

  • 控制框架

控制框架是您网络安全的基础。他们可以帮助您:

  • 确定一组基准控制
  • 评估技术能力(和效率低下)的状态
  • 优先执行控制措施 
  • 制定安全团队应遵循的初步路线图

控制框架的示例包括NIST 800-53和CIS控件(CSC)。

  • 计划框架

程序框架旨在帮助您制定积极的网络安全策略,使您能够识别,检测和响应威胁。这可以通过帮助您实现:

  • 评估安全程序的状态
  • 建立更全面的安全计划
  • 评估程序的成熟度,并将其与行业基准进行比较
  • 简化您的安全团队与业务主管之间的沟通

程序框架的示例包括ISO 27001和NIST CSF等。

  • 风险框架

风险框架使您可以对安全活动进行优先级排序,并确保安全团队可以很好地管理您的网络安全计划。您可以使用此框架执行以下操作:

  • 定义评估和管理风险的关键过程和步骤
  • 正确构建风险管理程序
  • 识别,衡量和量化风险 

风险框架的示例包括ISO 27005和FAIR。

有关您可以在企业中实施的各种类型的网络安全框架的示例的详尽列表, 查看这篇文章.

现在是时候认真考虑物联网的网络安全了

COVID-19带来的快速数字化转型以及远程工作的迅速采用导致许多组织’网络安全正达到极限。将IoT混为一谈,网络安全已成为大多数组织的噩梦。

但这对您的业务而言并非如此。

赢得网络战争的关键是要积极主动并提前预见网络攻击。这就是网络安全策略开始发挥作用的时候。 

当您在企业的基础架构和流程中采用IoT时,请确保设计并实施可靠的安全策略。这将有助于减轻您沦为恶意代理的风险,这些恶意代理会利用企业IT基础结构中的漏洞而壮成长。

因此,是时候认真考虑IoT网络安全了。

尼尔·塔帕里亚(Neal Taparia)

企业家与投资者

尼尔·塔帕里亚(Neal Taparia)是Imagine Easy Solutions的联合创始人,该公司是在线教育服务的组合,每年为3000万学生提供服务。尼尔(Neal)将公司出售给了Chegg(纽约证券交易所:CHGG),在那里他担任高管三年。他现在正在推行一项新的倡议, 索取,将经典游戏与记忆力和注意力训练联系起来。