关于作者
Larry Lunetta是Aruba的无线局域网和安全解决方案营销副总裁,这是一家惠普企业公司。拉里还是亚利桑那州立大学(Arizona State University)企业家研究的客座讲师。
完整的生物
就像没有驾驶经验的青少年驾驶家用SUV在高速公路上行驶一样,即使是连接到企业网络的最简单的设备也有可能参与攻击,造成严重的破坏。根据摩尔定律,任何有IP地址的东西现在都必须被视为潜在威胁。具有讽刺意味的是,802.11ax引入了很棒的新安全特性,例如WPA3和欠。但是,它也使WLAN对物联网更加友好,因为它支持在智能建筑这样的环境中密集的客户端,在这些环境中,像照明控制这样的设备可能是通过无线连接的,也可能是有线连接的。
尽管它们的计算能力很强,但像传感器、控制器、设备等“东西”,除了工厂安装的(很容易猜到的)用户id和密码之外,几乎没有任何保护措施。此外,这些设备不记录日志,因此没有信号或警报表明它们已被破坏。更糟糕的是,在IT或安全团队不知情的情况下,“东西”经常出现在网络上。因此,我们遇到了完美的安全性噩梦:连接到IT网络的强大组件超出了标准安全性可见性和控制的范围。
波耐蒙研究所最近的一项调查显示在Aruba联合赞助的3800名安全专业人员中,物联网是一个特别的焦点。结果与直觉相符。77%的人认为,仅监控或执行次要任务的物联网设备构成了威胁。只有24%的人表示,他们组织的物联网设备有适当的安全保护。甚至物联网安全的责任也没有得到解决。
考虑到这一切,网络和安全团队能做什么呢?
好消息是,这些设备带来了卓越的员工、客户和合作伙伴体验——数字转型是由物联网驱动的。而且,不管自动售货机用关键信息攻击数据库的想法多么令人痛心,正是因为物联网设备连接到网络上,安全团队才能在晚上睡觉。鉴于物联网设备的安全性较低,判断设备是否已被入侵的唯一方法是在网络活动中寻找通常表明正在酝酿攻击的小变化。
安保团队的运作方式和战斗机飞行员一样。当决定攻击是否正在进行时,他们遵循的路径是感知,理智,决策和行动。对于物联网安全,这意味着将网络变成“传感器”,原始流量通过深度包检测引擎进行处理,该引擎旨在收集数百种相关行为元素,如流量、占空比、目的地、端口、协议等。
然后将交通信息传递给机器学习模型,建立正常行为的参考基线,从而很容易发现偏差。当机器学习模型看到足够多的攻击正在进行的证据时,就会生成一个警报供分析师审查。想想一个摄像头,它发送的数据包数量是正常情况下的两倍。或者是一个试图连接到从未见过的系统的建筑控制器。
前两个步骤对于检测物联网相关事件至关重要,它们需要强大的网络领域专业知识和经过验证的数据科学,包括有线、无线、广域网和远程连接。正确的决策和适当的行动依赖于消除误报,不仅向分析师提供正确的攻击信号,而且还提供相关的支持证据。而且,正如网络自动化正在改善用户体验和IT效率,深度的网络洞察和精确的机器学习模型可以促进自动攻击响应。
Aruba IntroSpect用户和网络行为分析提供保护物联网环境所需的深度包检测和机器学习。虽然该解决方案适用于任何网络,但它已经过调整以利用Aruba的产品和技术。例如,Aruba无线控制器产生的AMON日志描述了无线通信的特征,IntroSpect使用它们作为活动数据。Aruba交换机现在不需要单独的包处理功能,就可以根据它们看到的流量产生与安全相关的警报。
是的,物联网浪潮仍在继续,但这并不一定会导致安全问题。
相关内容
