訪(fǎng)問(wèn)控制對于物聯(lián)網(wǎng)設備的重要性

　　網(wǎng)絡(luò )罪犯的目光是越來(lái)越集中在物聯(lián)網(wǎng)(IoT)設備上了。Hide 'N Seek 惡意軟件最新變種甚至首次將家居自動(dòng)化設備納入了感染范圍。為什么這些設備在罪犯眼中受到如此關(guān)注?有兩個(gè)原因：首先，這些設備出了名的易攻難守。其次，大多數公司企業(yè)連網(wǎng)絡(luò )上的傳統設備都登記不全跟蹤不了，更別說(shuō)成百上千的新IoT設備了。

　　顯然，IoT設備漏洞與機會(huì )并存，讓很多安全團隊大為頭疼。數字化轉型時(shí)代，IoT設備的作用越來(lái)越關(guān)鍵，能令公司企業(yè)在今日泛在化市場(chǎng)中更具競爭優(yōu)勢。但同時(shí)，公司企業(yè)尚不具備在該新攻擊界面上鋪開(kāi)全面可見(jiàn)性所需的資源，尤其是在IoT設備采納速度過(guò)快的情況下。而且，公司企業(yè)現有的傳統孤島式安全設備也明顯無(wú)法勝任IoT網(wǎng)絡(luò )監視職能。

　　那么，需要做哪些安全措施來(lái)防止loT安全危機公司網(wǎng)絡(luò )呢？

　　1.需要訪(fǎng)問(wèn)控制

　　安全首要原則就是可見(jiàn)性?？床灰?jiàn)就談不上控制。從打補丁到監視到隔離，哪樣都離不開(kāi)在設備一接入網(wǎng)絡(luò )時(shí)就建立起可見(jiàn)性。因為訪(fǎng)問(wèn)控制產(chǎn)品是新設備接入網(wǎng)絡(luò )時(shí)首先碰到的網(wǎng)絡(luò )元素，它們需能自動(dòng)識別IoT設備，確定設備是否被黑，然后基于設備類(lèi)型、預定目的地址、用戶(hù)角色等因素提供受控訪(fǎng)問(wèn)。

　　進(jìn)出網(wǎng)絡(luò )的IoT設備數量持續增加，訪(fǎng)問(wèn)控制解決方案的處理速度需得跟上時(shí)代的發(fā)展。另外，訪(fǎng)問(wèn)控制解決方案還需與網(wǎng)絡(luò )和安全控制措施無(wú)縫同步，確保IoT設備及其應用在分布式網(wǎng)絡(luò )中的持續跟蹤和策略統一實(shí)施。

　　2.網(wǎng)絡(luò )分隔與訪(fǎng)問(wèn)控制

　　識別并驗證IoT設備之后，還需為其分配一個(gè)特定的網(wǎng)絡(luò )段。理想狀態(tài)下，IoT設備與生產(chǎn)網(wǎng)絡(luò )自動(dòng)隔離，防止關(guān)鍵內部資源暴露在潛在威脅和攻擊方法面前。比如說(shuō)，直接與訪(fǎng)問(wèn)控制解決方案互動(dòng)的內部分隔防火墻，就可將IoT設備置于專(zhuān)門(mén)的網(wǎng)段加以監視和審查其應用程序，識別并防止惡意軟件的橫向擴散。同時(shí)，邊界防火墻可自動(dòng)阻斷受感染設備與外部C&C服務(wù)器通信。

　　3.隔離與訪(fǎng)問(wèn)控制

　　訪(fǎng)問(wèn)控制還必須能夠向其他安全、聯(lián)網(wǎng)及管理設備發(fā)送IoT設備的信息，以便建立起IoT數據流基線(xiàn)并加以監視，方便采用行為分析之類(lèi)的技術(shù)識別出流氓設備。

　　流氓設備一旦被揪出，整合的網(wǎng)絡(luò )與安全解決方案便可在及時(shí)處理威脅上發(fā)揮關(guān)鍵作用。無(wú)論是哪種安全工具或解決方案檢測出源自IoT設備的異?；驉阂饬髁?，都應能自動(dòng)觸發(fā)協(xié)同響應，包括重定向流量、封鎖通信信道，以及使用網(wǎng)絡(luò )訪(fǎng)問(wèn)控制(NAC)解決方案加以隔離——將被黑設備重分配到隔離網(wǎng)段留待評估、緩解或清除。

　　loT安全新常態(tài)

　　因為在今日數字市場(chǎng)舉足輕重，IoT設備代表著(zhù)當今IT新常態(tài)的一部分。然而，想要在不干擾業(yè)務(wù)目標的情況下?lián)踝”缓贗oT設備帶來(lái)的風(fēng)險，卻是難上加難。這是不僅僅是因為安全團隊難以跟上設備及相關(guān)流量的爆發(fā)式增長(cháng)與IoT設備本身的不安全性，也因為可防御的網(wǎng)絡(luò )邊界已經(jīng)消散，可以從世界各個(gè)角落訪(fǎng)問(wèn)公司網(wǎng)絡(luò )。更糟的是，安全人才的全球性短缺導致可用于檢測和響應IoT相關(guān)事件的人手捉襟見(jiàn)肘。

　　只需一臺被黑掉的IoT設備，就可對公司網(wǎng)絡(luò )、基線(xiàn)和信譽(yù)造成嚴重打擊?，F代企業(yè)需要整合的自動(dòng)化安全框架，該框架要能執行一系列關(guān)鍵功能，比如流量及行為監視、安全網(wǎng)絡(luò )訪(fǎng)問(wèn)、協(xié)同威脅響應等等，無(wú)論這些威脅是在分布式網(wǎng)絡(luò )的哪個(gè)角落被發(fā)現的。

　　黏合了訪(fǎng)問(wèn)控制和安全策略的集成安全方法，不僅可為企業(yè)帶來(lái)建設強安全所需的可見(jiàn)性，還能帶給企業(yè)檢測、預防及響應威脅的自動(dòng)化過(guò)程。該方法確保了設備情報共享、訪(fǎng)問(wèn)控制泛在實(shí)施，以及被黑設備快速清除，對關(guān)鍵業(yè)務(wù)交易和工作流的影響可降至最低。IoT設備已成現代業(yè)務(wù)流必備部分，只要安全措施做到位，倒也未必會(huì )成為公司網(wǎng)絡(luò )的最弱一環(huán)。

　　小結分享

　　賽億方案十三年電子產(chǎn)品硬件及嵌入式軟件開(kāi)發(fā)設計經(jīng)驗，累計開(kāi)發(fā)產(chǎn)品電子應用設計完成5000多個(gè)方案設計;目前為客戶(hù)提供理念超前的手機APP開(kāi)發(fā)、智能家居系統、電子技術(shù)、電子線(xiàn)路設計、PCB設計、電路板設計、單片機技術(shù)、智能控制、嵌入式系統等。如有產(chǎn)品方案開(kāi)發(fā)意向，期待您的來(lái)訪(fǎng)。