针对 IoT 设备实施零信任的正确方法

目录 简介3什么是零信任安全4针对物联网设备实施零信任的正确方法5针对物联网设备实施零信任的挑战5针对物联网设备实施零信任6零信任原则一：设备/工作负载6发现6风险评估7零信任原则二：评估8最低访问权限策略8网络分段策略8策略实施9零信任原则三：事务10持续监控10内置防御措施10在整个基础架构中实施零信任10 简介 网络和安全团队历来依靠网络边界防御措施来保护整个企业。内部网络被认为是可信且安全的。虽然外部的一切内容都被认为存在风险，但是内部网络中的一切内容都被认为是“干净的”，应用流量将不受限制地流动。然而，企业办公模式的最新发展变化正在对传统的安全管理网络边界产生深远的影响。 以下趋势促使企业重新评估其安全方法： •数字化转型：IoT设备采用率上升协助各企业增加价值、提高工作效率并降低成本。•云迁移：越来越多的托管和非托管设备日益将数据发送到云或多云环境中。•混合办公：员工可在园区网络中自由进出，这导致公司网络面临外部威胁。 传统的网络边界不再是一个值得信任的圈层，企业面临的网络威胁和网络攻击增加就证明了这一点。现代企业网络现在必须考虑访问网络的所有类型的设备，从传统的IT设备到现在支持互联网并连接到网络的非常规IT设备，包括安全摄像头、HVAC、智能照明、智能百叶窗、输液泵、打印机、智能咖啡机、智能电视、虚拟助理、ATM和销售点终端等等，这些设备就构成了所谓的物联网(IoT)。这些设备将风险水平降至最低，并显著扩大了威胁面，使网络极易受到横向攻击。 基于120万个端点的Palo Alto NetworksUnit 42 2020物联网威胁报告发现，2020年的物联网设备占所有企业设备的30%。除此之外，Gartner的Machina物联网数据库预测，从2020年到2030年，物联网设备的CAGR增长率约为13%。 每天有1000万台新的物联网设备加入网络* 30%以上的企业设备是物联网设备* * 2030年设备的预期数量，以及从2020年到2030年的增长比例。 图1：根据Gartner的Machina数据库，预计各行业的物联网都将有所增长 由于IoT设备通常具有漏洞、难以修补、缺乏安全控制，但对于网络的访问不受限制，因此IoT激增会为企业带来严重的安全问题。以下是最近针对企业的一些物联网攻击的概况。 Palo Alto NetworksUnit 42的物联网威胁报告发现： •物联网设备面临的主要威胁包括： •网络扫描漏洞利用(14%)•密码用户实践(13%)•蠕虫(12%)•勒索软件(8%) •57％的物联网设备易受中等或高严重程度的攻击 •83%的医疗成像设备在不受支持的操作系统中运行 物联网设备和攻击数量的增加导致企业必须重新评估其风险管理策略，并转用零信任方法来保护物联网设备。 什么是零信任安全 随着居家办公、BYOD、企业资源向云迁移和物联网趋势等传统网络边界的消失，以及网络威胁增加，采用零信任方法作为企业安全核心策略已成为必然。PaloAltoNetworks可将零信任定义为一种网络安全战略性方法，通过消除隐含式信任和持续验证数字交互的每个阶段来确保企业安全。此外，作为安全骨干的强大框架为企业提供了一个实现网络现代化及重建网络、采用云技术以及加强安全运营的机会。 PaloAltoNetworks概述了零信任框架及其遵循的指导原则，涵盖了企业内所有用户、应用和基础架构的安全性，以及身份、设备/工作负载、访问和事务这四个关键支柱，如表1所示。 针对IoT设备实施零信任的正确方法 上一节中概述的基础架构零信任框架指导原则转化为针对实现物联网设备零信任的更细化的指导原则。接下来是零信任框架，企业应该考虑使用该框架来保护物联网设备。 虽然市面上的许多解决方案都声称提供物联网设备零信任，但未能真正满足物联网安全的复杂需求。以下是实现物联网设备零信任面临的一些挑战。 针对物联网设备实施零信任的挑战 1.难以发现和识别 •基于代理的传统端点安全解决方案无法发现和管理。由于大多数物联网设备的处理能力和CPU较低，因此无法安装端点代理。 •大多数物联网发现技术仅可发现及分类含预填充签名的物联网设备。不幸的是，基于设备指纹或签名的方法无法扩展以发现所有物联网设备，因为操作协议、标准和进入网络的新型设备种类繁多。 •物联网设备较少被分配唯一的硬件标识符（与IT设备不同），并且这些设备是批量制造的。因此，大多数设备在IT团队的设备清单中仍未被发现或识别，也未被记录，从而产生了影子物联网。 2.难以验证身份、定义策略和细分 •大多数物联网设备不支持传统的企业身份验证和授权流程，如802.1X或单点登录。或者，由于设备分类不佳，MAC身份验证存储库(MAR)列表也不起作用。由于物联网设备是业务推动因素，网络团队必须手动启用这些设备，而不能完全冒着风险行动。 •分段策略和规则创建流程需要数小时的手动工作。此外，针对未托管设备的有限可视性使其更难以准确分段，但只有准确分段，才能有效阻止威胁横向移动。 3.难以持续评估 •物联网设备仍然不在漏洞扫描程序的范围内，因为这些设备缺乏对物联网设备的可视性。•许多物联网和OT设备是关键基础架构的一部分，可主动探测或扫描这些设备以进行风险和漏洞评估，这也可能导致网络中断。 4.物联网安全解决方案缺少安全性 •现有的物联网安全解决方案也不具备推荐零信任风险降低策略的情报或能力。安全团队需要收集设备信息和情境，并手动制定零信任策略。这可能是一个漫长且容易出错的过程。•现有的物联网安全解决方案只能警报，且缺乏内置威胁防御措施和安全策略的实施。 针对物联网设备实现零信任 Palo Alto Networks IoT Security基于设备/工作负载、访问和事务三大支柱及其原则将物联网设备添加至零信任安全模型中，从而最大限度地降低物联网安全风险，让您的网络能够抵御网络攻击。Palo Alto Networks使物联网设备极易实现零信任，从而提升了企业的整体安全态势。以下是企业如何通过Palo Alto Networks的IoT Security实现零信任的实用方法。 零信任原则一：设备/工作负载 识别包括物联网在内的所有设备 1.探索 您无法保护看不到的事物。为了扩展零信任原则，必须在用户和标准IT设备的基础之上在网络中添加所有未托管的物联网设备。Palo Alto Networks的IoT Security是唯一一款无代理的物联网安全解决方案，使用机器学习(ML)和深度数据包检测以及众包遥测技术来发现和分类网络中的每个连接的物联网设备，包括从未见过的设备。与基于签名的传统被动式设备发现方法相比，机器学习是一种更优质的方法。随着5G等新型无线协议或混合居家办公模式将新型物联网设备添加到网络中，基于机器学习的设备发现方法可确保快速准确地发现新设备并进行分类。 我们的IoT Security可分析200个参数，以准确地将每个设备的IP地址与其类型、供应商和型号准确匹配，从而展现50多个完整描述设备的基本设备属性。准确而细致的设备分类是区分非托管物联网设备和托管IT资产的必要前提。这种方式可以强制执行基于零信任的安全策略，只允许物联网环境中的获批流量。 以下是IoT Security提供的几大类情境信息。 2.风险评估 应用零信任框架的下一步是以高置信度评估风险并确定物联网设备的风险级别。“风险”已经成为一个模糊的术语，并与“威胁”和“漏洞”互换使用。要真正理解风险，您需要知道其真正含义。风险是威胁利用漏洞来危害或破坏资产（本例中为物联网）的函数。因此，物联网设备风险基于三个载体来衡量：威胁、漏洞和资产环境。Palo Alto Networks的IoT Security可检测和评估这三个载体中的风险。这是通过利用众包设备数据、基于机器学习的设备行为异常评估、专属Unit 42威胁研究、CVE、第三方漏洞管理信息等完成的。 漏洞利用|恶意软件 IoT Security可衡量风险情况并为其观察到的风险数量分配四个级别的分数： 1.专属物联网设备2.设备配置文件3.站点4.企业 在计算设备配置文件、站点和企业的风险分数时，IoTSecurity不仅会考虑特定组中单个设备的分数，还会考虑风险设备对于组中所有设备的百分比。不同的分数提供了简单的方法来检查网络中不同点和区域的风险。 了解如何将发现网络中物联网设备漏洞的时间从三周缩短到几个小时。 零信任原则二：访问 对原生和第三方基础架构的最低权限访问分段 3.最低访问权限策略 作为一项策略，最低访问权限是零信任的关键原则。最低访问权限为IoTsecurity策略，旨在为物联网设备提供最低级别的网络访问权限。由于大多数物联网设备都是“专门构建”的，并具有预测行为，因此允许应用最低访问权限策略，可用于以下场景： •保持物联网设备运行的虚拟补丁：最低访问权限策略甚至可以阻止或限制易受攻击的设备访问特定资源，以此允许这些设备运行。在物联网/OT设备是业务驱动因素并且需要运行的情况下，这一策略非常有用，例如医疗服务机构或制造企业中的关键物联网设备。这是一种临时策略，用于在漏洞得到修补时限制漏洞被恶意利用的风险。 •网络访问控制策略：最低访问权限策略还可用于限制物联网设备针对特定资源的访问，以执行其所需的任务。例如，安全摄像头只需与视频存储器和供应商网站通信即可进行固件更新。 如今，人们必须完成多个劳动密集型步骤才能为每个设备配置文件定义和制定风险降低策略。手动步骤包括清点物联网设备、按设备类型或功能定义设备配置文件、建立行为基准、定义不中断业务运营的策略，以及与其他实施技术集成，以便实施这些策略。 Palo Alto Networks的IoT Security是当今市场上唯一一个从风险评估到自动提供降低风险的零信任最低权限访问策略的解决方案。通过将数以百万计的物联网设备中的元数据与网络中的元数据进行比较，IoTSecurity可以使用其设备配置文件来确定正常的行为模式。对于每个物联网设备和设备类别，它提供了一个推荐策略来限制或允许受信任的行为，并帮助实施零信任策略，而无需费力的手动流程。在收集手动创建策略所需的应用使用情况、连接和端口/协议数据时，建议的策略为每个设备节省了无数小时。一旦经过审查，策略可以通过您的基于机器学习的新一代防火墙快速导入，任何更改将自动更新，让您的管理开销保持最低。 了解如何通过IoT Security的自动策略创建流程节省20倍的时间。 网络分段策略 遵循“从不信任，始终验证”的零信任指导原则，对物联网设备进行细分，这可以视为迈向零信任的一步。比如，将任务关键型心率监测器与成像系统安装在同一网络中对于医疗机构而言并不合适。基于设备配置文件的分段方法考虑了多种因素（包括设备类型、功能、任务关键性和威胁级别），提供的隔离方法能够显著降低交叉感染造成的潜在影响。 Palo Alto Networks新一代防火墙支持的IoT Security采用基于设备配置文件的精细细分方法，将这些因素考虑在内，以实现隔离。这大大降低了IT和物联网设备之间交叉感染的潜在影响。使用PaloAlto Networks新一代防火墙(NGFW)作为分段网关，利用其固有的网络功能无缝部署到现有环境中，并允许针对网络中未托管的物联网设备进行安全控制。 假设客户更愿意选择网络访问控制(NAC)解决方案来细分网络。在这种情况下，IoTSecurity提供了与CiscoISE、Forescout®和Aruba ClearPass®的内置集成，以实现细分；然而，由于NAC仅在可以进行身份验证的设备中具有可视性，因此对于不能进行身份验证的物联网设备存在盲点，因为这些设备之间没有与之相关联的用户。因此，IoT Security为NAC解决方案提供未托管设备信息发现功能，并提供额外的设备情境，以便对其进行智能分段。以下是我们的一个现场客户示例，展示了IoT Secu