“看得見”到“管得了”:物聯網終端的安全管理
在以往,電力的端點可以說是家家戶戶的電表,運維靠的是基層員工走街串巷,查電表、修線路、抓偷電。電力物聯網的出現讓老一輩抄表員不再跑斷腿。隨著新能源汽車的興起,時代要求電力系統做新能源汽車的“加油站”,即充電站。在電網概念中,充電站仍然以電表為端點。但在物聯網概念中,充電站是一個子網,這個子網中至少有智能電表、充電樁、攝像頭。傳統的端點從一個電表變成了幾十上百個IoT設備。要保障這一物聯網的健康運行,勢必要解決合法設備便捷接入網絡,防止入侵及IoT設備風險評估等問題,以保護物聯網的安全。因此,終端準入與訪問控制對于電力物聯網而言十分必要。本期發布牛品推薦——上海寧盾:物聯網(IoT)接入安全場景解決方案。
#牛品推薦第二十四期 #
01標簽
終端合規檢測,網絡準入,訪問控制,資產管理,可視化拓撲,風險告警
02用戶痛點
1、如何讓合法設備便捷地接入網絡
新的IoT管理必須為業務高速發展提供支撐。傳統準入方法是在IoT設備上配置802.1x認證,或者配置MAC地址白名單。問題在于,一是多數新型啞終端無法支持802.1x認證,抬高了設備門檻,讓采購喪失靈活性;二是傳統方法基于靜態信息,新業務的快速開展一定存在大量的設備增加和變更,甚至設備品牌的變化,基于靜態信息的準入讓運維效率變得低下。
2、如何探測植入或入侵
電力物聯網是一個TCP/IP網,基于防火墻做了網絡邊界防護。充電站有許多IoT設備暴露在建筑物外部,比如充電樁和攝像頭,這些設備在網絡邊界內部卻在物理邊界外部,不法人員很容易通過室外的物理端口接入,對網絡邊界內部發起攻擊。
3、如何動態評估IoT設備風險,做到有備無患
IoT設備的一大特點是固件不易升級,安裝運維特點是默認密碼不修改,為長期運維留下隱患。隨著時間的推移,不斷會有設備爆出漏洞。對IoT設備進行風險評估是一個比較新的領域,除了對單一設備動態評估,還需要對網絡區域安全風險做整體評估、排名,對高風險設備做告警,甚至隔離網絡。
03解決方案
解決上述問題,首先要做到“看得到”,從而實現“管得了”。
首先,要探測到網絡中所有終端,形成整體視圖,能夠識別出“合法設備”和“非法設備”。這需要探測終端的設備類型、MAC地址、地理位置等,并且與本地資產庫或者聯動外部資產庫匹配終端,能夠匹配的為合法終端,匹配不成功的標記為非法終端。
其次,持續檢測終端指紋,一旦終端指紋變化,意味著其MAC地址可能被偽造,需要標記為安全事件,并自動聯動網絡設備限制其接入。
除此以外,需要聯動第三方IoT漏洞檢測系統,收集和統計終端威脅,形成風險評估列表,讓風險設備也能被看到。
寧盾解決方案中完整的系統組成包括寧盾探針、寧盾IoT中控、IoT漏洞探測(可選)、客戶自運維的大數據分析平臺(可選):
寧盾探針:充當網絡“攝像頭”和策略執行器,通過流量鏡像發現、探測終端信息。探針在IoT設備流量比較小時單臺容量很大,每個地市部署1至2臺即可;
寧盾IoT中控:它是泛終端資產及風險管理中心,它提供集中資產視圖(聯動)、集中終端視圖以及終端風險視圖;
IoT漏洞探測系統:在寧盾探針發現終端設備后,對其定期掃描,豐富終端風險視圖,使寧盾系統可根據風險評級自動告警或者限制網絡接入;
大數據分析平臺:客戶自有平臺,寧盾有可將終端設備的各種信息和動態發送給第三方。
資產定義或聯動:
終端集中可視化:
終端風險視圖(聯動OpenVAS效果):
04方案特點
該方案放棄邊界防護思路,采用基于無邊界的“零信任”機制解決終端問題,在執行層面,通過全程“可視化”替代傳統基于Agent方式來實現終端信息收集問題,通過打造開放性與第三方聯動,承擔泛終端安全管理連接器及感知中臺。
1、創新點:
自動化:在設定規則之后,它能夠自動發現泛終端;
開放生態:與以往試圖提供整體解決方案不同,它嘗試打造一個解決問題的生態體系,通過與各種安全產品聯動、大數據平臺聯動,整體解決爆發式增長泛終端的資產及安全管理問題;
基于學習式:通過機器學習,不斷擴大終端識別庫以及提升終端行為判斷精準度。
2、技術優勢
- 自動實現終端資產分類,提升資產提供的精準度、實現實時終端資產統計及更新時間、替代傳統手工統計方式無法實現全局收集難題,降低管理成本;
- 終端規模越大,識別代價越低、精準度越高;
- 自動識別風險終端,并能夠定位終端的身份、位置、設備類型、風險情況,大大提升發現及解決問題效率;
- 開放連接架構,提升聯動解決泛終端安全問題能力,能夠連接不同廠商安全能力、數據能力,實現聯動解決泛終端安全問題,如DLP、漏洞管理、SIEM及態勢感知等聯動。
05用戶反饋
“寧盾終端準入產品幫助提升IT基礎設施的可視化,有效識別入網終端身份信息及安全情況,阻隔非法終端接入,并自動對異常終端進行隔離,自助修復,保障了企業內網資源安全。”
——來自某人工智能公司
“對于接入網絡的終端,寧盾提供完善的終端準入安全審查防護功能,能夠有效的對入網終端進行合規性檢查。通過客戶端/無客戶端的模式,簡化了用戶準入流程,提高了用戶產品體驗。兼容現有網絡架構,無需進行網絡改動,支持與第三方平臺進行聯動,加強企業內部網絡安全。方便、經濟、高效。”
——來自某芯片半導體公司
“寧盾終端準入解決方案提升企業對終端管控的可視化能力,包括發現連接到企業內部PC、手機、物聯網設備、網絡設備等,以及受信及非受信終端,并進行靈活的入網安全控制。高效便捷及生態聯動能力,實現企業網絡環境整體防護。”
——來自某物聯網科技公司
“分布式部署模式能夠靈活適應企業組織架構,實現企業對終端準入的集中管控要求。通過對終端入網進行安全檢查,有效防止不合規終端或不符合安全要求的終端入網,讓不安全變得可見。例如,防病毒軟件未及時更新、操作系統補丁未及時更新、安全不合規軟件等行為。切實提高了企業內網的安全基線。”
——來自某大型金融企業
安全牛評
當業界在推動產業物聯網高速發展同時,物聯網安全問題也給我們敲響了警鐘。近兩年,國內外挖礦、設備劫持事件頻發,智能家居產品不斷爆出安全漏洞,漏洞被利用時將造成不可逆的經濟損失,同時也反映在物聯網產業建設初期,安全作為物聯網應用的基礎設施的重要性。“攻擊來源繁雜、攻擊危害巨大、傳統防護乏力”是物聯網安全的三大特征。
寧盾科技物聯網終端安全解決方案,實現了 “可視化”物聯網資產發現和終端信息收集,通過第三方安全平臺,實現了自動識別終端風險,大大提升發現及解決問題效率。
