零信任:保护IoT设备和构建IT和OT网络的三个步骤
source link: https://www.51cto.com/article/719069.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
零信任:保护IoT设备和构建IT和OT网络的三个步骤
增加安全措施的需要每天都在增加。随着技术的发展和渗透网络和计算机系统的方法的发展,识别在线的不良行为者变得越来越困难。这在当今远程访问企业数据、运营技术(OT)网络和由控制器、传感器和数据聚合器组成的智能建筑系统的世界中尤为重要。
一段时间以来,商业建筑中的通用网络连接和部署传感器或物联网 (IoT) 设备一直受到关注,因为建筑业主、设施管理人员和承包商正在寻求提高效率、更强大的运营性能和改善居住者舒适度的机会.
但是,端点越多,漏洞就越多。因此,利益相关者需要考虑安全问题,以确保这些新设备不会成为攻击媒介,不仅会给建筑物的运营带来风险,还会给租户的运营带来风险。
利益相关者需要考虑安全问题,以确保这些新设备不会成为攻击媒介,不仅会给建筑物的运营带来风险,还会给租户的运营带来风险。
在具有控制相关设备的网络中,安全漏洞可能会造成严重后果。因此,理解物联网建筑安全最佳实践和协议对于保障设施的安全至关重要,进而保护设施的租户和居住者。
物联网设备:新的漏洞点
嵌入软件、传感器和先进技术的物联网系统实现了建筑系统之间的连接和通信,但它们也可能引入漏洞和安全威胁点。在设计和部署网络时,应考虑到功能和安全性。
由于网络类设备的设计和实施不是控制承包商的核心能力,他们通常会安装用于操作控制的底层网络以及监督控制器。他们的主要目标是完成项目,但可能无法解决现代安全威胁。虽然他们将验证控制值是否有效,但不幸的是,他们的重点并不是确保网络安全。
然后无意中创造了一场完美的漏洞风暴。没有硬件制造商或建筑承包商愿意故意引入漏洞。
与具有深入构建物联网专业知识的系统集成商合作对于实施设计合理的安全架构非常宝贵,该架构可以使系统保持最新、安全并免受风险影响。他们应该了解以团队为基础的方法与建筑物的 IT 部门合作开发一系列安全解决方案。
构建安全性的最佳实践
为了符合最佳实践和协议,系统集成商及其 IT 合作者应采取以下三个关键步骤:
1、执行漏洞评估
首先,为了确定建筑物的安全状况,团队需要进行安全评估,查看数据流量的方向,以更好地了解端到端的运营风险,并识别物联网设备默认设置中的弱点。该基线的一部分应该是确定在运营技术网络的设计和实施中是否遵循了最佳实践方法。这可以成为您坚持供应商在配置网络访问时使用最小权限原则的起点。最小权限原则将信息访问限制在用户进行工作所需的最低限度,是“零信任”的支柱之一。
零信任指的是,一个组织的应用、软件、网络或系统内外的所有用户或设备,在被授予访问所请求资源的权限之前,都必须经过身份验证和确认;例如,需要访问 BMS 系统的控制技术人员。即使他们以前可以访问系统,下次也不会自动获得访问权限:他们必须每次都向零信任访问平台进行身份验证。
根据评估结果,系统集成商可以与楼宇管理部门合作设计和安装安全系统,以物理方式保护启用 IP 的设备并提供扩展保护,防止未经授权的进入。这可能包括生物识别锁、外部监视监控、存储访问控制和访客访问管理。
2、改进访问控制以提高组织安全性
系统集成公司应要求其所有员工和承包商在访问建筑物系统之前签署保密协议。应使用具有双因素或多因素身份验证的加密隧道保护对服务器的远程访问,并严格限制为有权访问特定项目的物联网设备或应用的用户。
所有访问都必须通过IP地址记录,以进一步确保严格的安全性;系统访问必须配置为仅限制对系统的指定和必要部分的访问。可以部署智能分析以在设施系统内实时实施访问角色和用户权限。
3、应用安全自动化功能和加密
监控并自动标记安全风险(例如过多的登录失败)和可疑活动(例如恶意软件或病毒)的系统对于物联网构建安全最佳实践和协议至关重要。网络行为异常检测可以成为网络安全解决方案的关键组成部分。
此外,通过建筑物的运营技术网络发送的所有数据都需要加密。这意味着开发一种有效的方法来管理加密证书并使用现代加密标准,例如Triple DES、AES或RSA,它们提供最高级别的安全性。
为 OT 和 IT 部署零信任模型
零信任的“有罪直到被证明是无辜的”方法可以在必须解决威胁之前远离危险;它还具备在发现这些威胁时对其作出反应的能力。传统的数据安全策略已经形成了强大的边界来阻止攻击者。不幸的是,这缺乏一致性,并且经常落后于不断发展的数据盗窃方法。
以前,网络安全侧重于保护信息技术而不是运营技术。通过零信任,组织的 IT 和 OT 部分同时受到保护,包括从验证远程员工中的员工真实性到保护整个组织的高度敏感的基础设施的所有内容。
零信任模式已被广泛接受。以美国为例,今年早些时候,白宫要求在 2024 财年末之前为所有联邦机构实施零信任战略。
虽然 IT 是必不可少的并且应该受到保护,但 OT 是企业的大部分底线所在。如果对 OT 的攻击导致重大变化,企业及其利益相关者将面临令人难以置信的时间、资源、信任和声誉损失。
创建更有效的安全策略和策略
物联网及其相关技术在商业建筑中引入了不断演变的安全问题。
美国最近通过的2020 年物联网 (IoT) 网络安全改进法案肯定了这些担忧的重要性。该法案概述了旨在解决物联网设备漏洞的新安全标准,提供了报告漏洞的指南,并提供了漏洞披露的要求。
但是,虽然这些努力是朝着更好的安全性迈出的一步,但它们还不足以提供可靠的安全性。随着网络威胁的不断出现,制定强有力的战略来管理与先进物联网技术相关的系统漏洞仍然至关重要。
用于物联网设备的网络的安全性取决于我们为我们的建筑和投资组合建立最佳实践的坚实基础的能力,包括零信任等模型。
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK