【擁抱IoT】9成裝置存風險 動態隔離技術助企業堵截非法連線
數年前,有黑客遙距入侵澳洲一間賭場的監視器系統,偷看其中一間貴賓室內的撲克牌局,然後暗中通知現場的同謀下注,八局下來詐贏了將近3,300 萬美元。另一個讓人意想不到的場景,則是 2018 年某酒店大廳中壯觀的新式魚缸,雖然讓顧客們置身於愉悅的環境中,但魚缸內與酒店電腦系統相連的智能溫度監察器,卻存在網絡安全漏洞,結果成為絕佳的跳板,讓黑客成功闖入酒店電腦系統⋯⋯
IoT(Internet of Things, 物聯網)的發展速度愈來愈快,上述的個案恐怕只會愈來愈多。IoT(Internet of Things, 物聯網)的發展速度愈來愈快,根據最新數字顯示*,預計 2021 年將會有 250 億 IoT 連接上網。報告同時指出當中約 9 成缺乏網絡安全保護,透明度亦不夠高,令企業及使用者難以有效監管這些 IoT 產品。不過,IoT 卻是讓企業達成數碼轉型、提升產能的重要助力,難以棄之不用。與其斬腳趾避沙蟲,企業應積極採用有效的管理工具,分析可疑的網絡傳輸活動,在簡化管理作業的同時亦避免可能通過 IoT 發動的攻擊,享受 IoT 帶來的優勢。
銷量第一懶理安全防護
不少企業管理者對 IoT 存有很多誤解,認為大多數 IoT 都屬於民用產品,例如無線喇叭、智能手錶、智能電視等。事實上,企業內部早已添置大量 IoT,其中網絡打印機、監控鏡頭、投影設備、智能燈光及窗簾等,都是最容易被企業管理者忽視的 IoT 商用產品。IoT 市場的競爭異常激烈,為了壓低成本及加快開發周期,開發商未必將網絡安全重要性放在首要位置,以至這些 smart device 在網絡保安層面上並不算 smart,反而保安漏洞百出,例如現時不少產品內的無線晶片仍舊只支援過時的 802.11n / 2.4GHz 頻譜通訊技術;再者大部分開發商也缺乏漏洞修補政策及售後支援,變相令黑客可通過不少已知的漏洞發動攻擊。
要安全地將 IoT 應用引入企業環境,企業首先聯想到的或許是做好網絡分隔(Network Segmentation)工作, 限制不同種類 IoT 使用獨立的傳輸通道,以及為每類產品加裝防火牆攔截攻擊。說起來容易,實際執行卻有一定難度,先撇除大規模的應用個案,即使企業只是加裝少量監視器、網絡打印機、監控鏡頭,網絡管理員其實有不少問題需要解決,例如制定 IoT 驗證方式、認出網絡上每台有線或無線產品的功能及存取權限,設定以分析連線行為作主導的安全政策,並非可以簡單地 「plug and deploy」。
身份行為雙重驗證 簡化設定與管理作業
Aruba 網路解決方案供應商推出的 Dynamic Segmentation 動態隔離技術,便有助網絡管理員避免上述的麻煩。以往交換器(Switch)在驗證連接裝置與傳輸埠時,會以 MAC address 作為驗證方式;但由於 MAC address 有可能被冒認及用以修改轉換器的記錄,達成中間人攻擊,所以要持續確認連接裝置的身份確有一定難度,特別是某些 IoT 裝置會持續向交換器發出含 MAC address 的連線請求,大大增加被冒認的風險。Aruba 的動態隔離技術則能持續鎖定已配對的裝置及連接埠,直至該裝置真正被移除網絡及關機,杜絕 MAC address spoofing 的可能性。
IoT 的廣泛應用,令連接的設備數量增多,傳統做法是由網絡管理員額外為各類設備指定 subnet,方便日後的管理及執行安全檢查。雲端交付平台 ClearPass Device Insight 則能自動化探索企業網絡,搜出所有經有線或無線連接的裝置,大大提升網絡裝置的可視性;一經認證,如有其他未經授權的裝置接入網絡,系統便可進行攔截,或根據安全政策,僅給予最低的訪客權限。ClearPass Device Insight 亦會透過機器學習及深度封包檢測(Deep Packet Inspection)技術,準確辨認出各類裝置的身份及用途,完成識別後,就能配合 Aruba 的 ClearPass Policy Manager,賦予每個裝置不同的訪問及存取權限,如發現有裝置發出不合符其身份的網絡要求,例如監控鏡頭要求讀取檔案,又或網絡打印機不停向外部網站發出訪問要求,ClearPass 便會自動隔離裝置或將其從網絡中刪除,阻截黑客盜取機密檔案或借助裝置發動 DDoS 攻擊,大大簡化系統設定手續。
另外,為了讓網絡管理員更簡單及快速地實施統一的安全政策,Aruba 可以其無線熱點連接有線的交換器,然後將所有網絡連線引導至 Aruba Mobility Controller 內的 Policy Enforcement Firewall,這樣便可令所有裝置都在同一安全政策下運作,毋須進行重複的設定,增加企業網絡連線的透明度。
(Article sponsored by HPE Aruba)
