就像没有驾驶经验的青少年开着家庭SUV在高速公路上行驶一样,即使是连接到公司网络的最简单的设备也有可能参与攻击并造成严重破坏。
根据摩尔定律,任何有IP地址的东西现在都必须被视为潜在威胁。具有讽刺意味的是,802.11ax引入了非常好的新安全特性,例如WPA3和欠。但是,它也使WLAN对iot更加友好,因为它支持在智能建筑等环境中密集的客户,在这些环境中,像照明控制这样的设备可以像有线一样无线连接。
尽管传感器、控制器、设备等“东西”具有强大的计算能力,但除了工厂安装的(容易被猜到的)用户id和密码之外,它们几乎不具备最低限度的保护,而且这些用户id和密码很少更改。此外,这些设备不进行日志记录,因此没有信号或警报表明它们是否被破坏。更糟糕的是,“东西”经常在IT或安全团队不知情的情况下出现在网络上。因此,我们面临着完美的安全噩梦:数百或数千个连接到IT网络的强大组件,超出了标准安全可见性和控制的范围。
波耐蒙研究所最近的一项调查显示在阿鲁巴公司联合赞助的3800名安全专业人员中,物联网是一个特别关注的焦点。结果与直觉相符。77%的人认为,仅仅监控或执行小任务的物联网设备会构成威胁。只有24%的人说他们公司的物联网设备得到了适当的保护。甚至物联网安全的责任也没有解决。
考虑到所有这些,网络和安全团队可以做什么?
好消息是,这些设备导致显著的员工,客户和合作伙伴的经验很多方面,数字转换是由物联网。而且,不管自动售货机用关键信息攻击数据库的想法多么令人痛心,正是因为物联网设备与网络相连,安全团队才能在晚上睡觉。考虑到物联网设备松懈的安全性,判断设备是否已被泄露的唯一方法是寻找网络活动的小变化,这通常是一个预兆性的攻击。
安全小组的操作方式和战斗机飞行员一样。当判断攻击是否正在进行时,它们遵循感知、判断、决策和行动的路径。对于物联网安全而言,这意味着将网络转变为“传感器”,通过深度数据包检测引擎处理原始流量,该引擎旨在收集数百个相关行为元素,如流量量、占空比、目的地、端口、协议等。
然后,交通洞察被传递到机器学习模型,以建立一个正常行为的参考基线,以便很容易发现偏差。当机器学习模型看到攻击正在进行的足够证据时,就会生成一个警报供分析人员检查。想象一下,一个相机发送的数据包数量是正常情况的两倍。或建筑试图连接到系统的控制从未见过。
前两个步骤对于检测iot相关事件至关重要,它们需要强大的网络领域专业知识和经过有线、无线、广域网和远程连接验证的数据科学。正确的决策和适当的行动依赖于消除假阳性,并向分析师提供正确的攻击信号,以及相关的支持证据。而且,正如网络自动化正在改善用户体验和IT效率一样,深度的网络洞察力和精密的机器学习模型可以促进自动攻击响应。
Aruba反思用户和网络行为分析提供保护物联网环境所需的深度包检查和机器学习。虽然该解决方案可以在任何网络上工作,但它已经经过调整,以利用阿鲁巴的产品和技术。例如,Aruba无线控制器生成描述无线通信的AMON日志,而IntroSpect将其用于活动数据。Aruba交换机现在可以根据所看到的流量产生与安全相关的警报,而无需单独的数据包处理功能。
是的,物联网浪潮仍在继续,但它不会导致安全问题。
关于作者
拉里·卢尼塔(Larry Lunetta)是惠普企业公司阿鲁巴(Aruba)安全产品营销副总裁。拉里还是亚利桑那州立大学企业家研究的客座讲师。