• 如何通過行為分析和監控技術應對物聯網安全威脅格局?

    首頁 / 業界 / 資訊 /  正文
    來源:D1net
    發布于:2個月前
    很多企業如今已經能夠響應并很好地處理已知的網絡安全威脅,而應對未知威脅將使企業的業務運營更具彈性。網絡安全市場是否能夠真正保護通過物聯網連接和傳輸數據的數十億臺物聯網設備?這是一個關鍵問題,而人們信任與工作和生活密切相關的物聯網設備這一基本認識強調了這一點。
     
    更重要的是,越來越多的物聯網設備連接到云端,更直接地利用基于云計算的存儲為網絡攻擊者創造了新的攻擊渠道。 在不久的將來,這些設備將支持 5G 技術,這使得連接到網絡而不是 Wi-Fi 路由器的物聯網設備更難以進行監控和保護。 
     

     
    傳統網絡安全措施使物聯網設備易受攻擊 
     
    當涉及到物聯網時,處理信息安全威脅的傳統方法難以滿足要求。在傳統安全策略中長期依賴的傳統防御邊界不再能夠妥善維護網絡安全,因為越來越多的企業轉向分布式環境。
     
     傳統的信息安全方法也缺乏靈活性,無法應對日益增長的物聯網設備帶來的不斷擴大的網絡攻擊面。在傳統信息安全的方法中,防御者圍繞其重要數據致力于構建最好的防御體系。這種方法不僅缺乏靈活性,而且缺乏創造性,因為一旦突破防御邊界,其防御體系將遭到攻擊。就在今年一月,網絡攻擊者利用 TeaVistor 公司一名離職人員的帳戶的用戶名和密碼攻擊舊金山的一家水處理廠,網絡攻擊者通過遠程訪問和控制權刪除了飲用水處理程序。因此一旦進入企業的業務系統,網絡攻擊者能夠在系統內任意攻擊,直到被安全人員發現。幸運的是,這家水處理廠沒有出現任何故障,但這只是對關鍵基礎設施的眾多攻擊事例之一。 
     
    使問題更加復雜的是,企業需要能夠在多個位置、由許多不同的人員和設備安全地共享信息,而這正是靈活性和創造性發揮作用的地方。將關注的重點放在關鍵基礎設施上,目前各行業的遠程工作者都在使用一些應用程序,他們的應用程序繞過安全控制措施,直接與相關系統協同工作。移動設備已經成為通信領域運營商的關鍵接入點。雖然它們可以幫助企業員工在遠程工作的情況下進行實時調整,但也為網絡攻擊者提供了更多的攻擊機會。 
     
    為了實現網絡安全思維方式的重大轉變,信息安全主管必須改變依賴于對攻擊進行反應的傳統安全戰略。這包括對攻擊事件的反應,其策略是基于應用程序、身份和訪問管理器以及顯示在控制臺上并提供反應信息的數據庫構建的。 
     
     
    行為分析如何保護設備?
     
    處理網絡威脅更有效的方法是開展行為分析。通過行為分析,企業可以識別惡意設備、權限提升嘗試、橫向移動、惡意軟件命令和控制事件,以及其他類型的威脅行為。 
     
    例如,在網絡攻擊者在業務系統中橫向移動的情況下,可以識別并適當分析可疑行為??梢詷擞浐驮u估橫向移動示例,其中包括嘗試訪問很少有用戶訪問的共享驅動器,訪問最近未被任何人訪問的資源,或者訪問共享驅動器的頻率高于過去訪問的頻率。 
     
    可以標記、評估和響應的與數據相關的行為將標記為數據泄露,通常是計算機將高于平均數量的數據發送到某個目的地或用于進行高于平均數量的數據過濾。 
     
    當用戶嘗試使用用戶、計算機或其他任何人最近未使用的服務或特權進程時,也可能觸發警報。 
     
    通過行為分析和監控保護設備的關鍵方法 
     
    通過優先考慮敏捷性的方法,重要數據被置于顯眼的位置 (就像珍稀物品在博物館中的展示方式一樣),但對這些數據的訪問受到嚴格控制,并密切監控重要數據周圍的行為和活動。實施訪問控制允許企業隨著條件的變化改變哪些人員可以訪問的權限。例如,新員工需要獲得一些訪問權限,而離職員工的訪問權限則需要全部撤銷。通過密切監視圍繞知識產權的活動,可以檢測到異常行為。 
     
    當今可用的工具使網絡防御者不僅可以監控人員的行為,還可以監控事物的行為。為控制用戶對資源的訪問而開發的模型可以同時用于控制事物對資源的訪問以及可能導致數據泄露的設備。 
     
    物聯網設備如果發出異常命令,可能表明已被入侵。同樣,來自物聯網設備的異常事件峰值或異常數量的失敗身份驗證嘗試也可能出現。異常時間的設備活動、與異常目的地的連接、異常數量的網絡連接都是可以監控和評估異常行為的示例。 
     
    隨著越來越多的企業采用物聯網設備的行為分析軟件,他們將超越傳統的 “防御邊界” 策略,并能夠更好地阻止網絡攻擊,同時檢測內部威脅。到目前為止,應對已知威脅相對容易,采用這種新模式將幫助企業更好地應對未知威脅,并幫助他們在這樣做時變得更有彈性。應對網絡安全問題的最后一個障礙在于轉變整體的網絡安全思維。