關於防護物聯網(IoT ,Internet of Thing)安全的話題,通常專注在現今市場上的”物”或裝置。雖然不可否認地,連網裝置會帶來資安挑戰,但網路(在建立物聯網環境安全的作用中)同樣重要。
這段在家工作(Work-From-Home,WFH)的期間也讓網路需求不斷地增加,因為遠端作業更加地需要物聯網。所以現在也是時候來重新檢視網路安全防護。簡單來說,使用者不該將重心放在保護可能危及網路的單一裝置,而應該是要防護整個網路,最大限度地減少跨多裝置的威脅。
網路和物聯網安全防護
物聯網裝置的漏洞是使用者必須面對的現實。網路上的裝置越多,追踪和防範可能危及整體環境的威脅也就越加困難。為了防止物聯網裝置被用來進行如分散式阻斷服務(DDoS)之類的攻擊,使用者在使用這類裝置時必須要記得應用最佳實作。
另外要記住的是,市場上競爭激烈的廠商所製造的裝置有著不同等級的安全性和壽命。有些裝置是為辦公室和企業設計,而有些則是為家庭或一般消費者所設計。而這兩種類型裝置的安全措施都可能受限於其運算能力。
一個安全的網路可以提供額外的安全防護來涵蓋所有與之連接的裝置。網路安全防護可以將威脅降到最低,並在某種程度上為使用者提供單一而切平的基準線,讓使用者能夠在物聯網裝置安全能力參差不齊下實施安全措施。
如何為物聯網做好網路準備?
對大多數環境來說,網路在物聯網引入前就已經存在。在重新檢視網路安全性時,最好先檢查一下網路為整合物聯網裝置做好什麼準備,以及有哪些弱點仍需要解決。
以下是在任何環境加入或建立物聯網前的幾項考慮因素:
升級網路以準備更大的頻寬。湧入的端點所需資源可能超過原本網路所能提供。如果不考慮到會加入網路並可能不斷交換資料的物聯網裝置,未來可能會出現連線問題。尤其是企業,必須事先規劃如何分配頻寬,確認哪些單位會需要更多頻寬跟什麼時間點。
檢查網路內原本就存在的端點。使用者加入物聯網裝置或建立物聯網環境前還必須檢查網路內原有裝置的安全性。如電腦和智慧型手機等端點也可能是脆弱的環節,尤其是當這些裝置比較舊或沒有安裝重大更新時。同時需要檢查這些端點與新加入網路裝置的相容性,及時了解可能的相容性問題有助於管理這些新增裝置。
持續更新網路政策。企業還需準備和更新其網路政策。經常在網路上的企業員工應該時刻意識到更多端點被加進網路的影響。因此,更新的網路政策應包含新的安全要求,如使用者授權管理、自帶裝置(BYOD)規則以及在家工作(WFH)相關政策。
如何應對物聯網相關風險?
涵蓋了基礎後,使用者和組織可以著眼於下一階段,這不僅包括保護網路免於物聯網相關風險的影響,還包括使用網路層安全防護作為工具來遏制和最大限度地減少此類威脅。物聯網裝置會讓網路面臨風險,不過也能夠利用適當的安全措施來防止這些風險的出現。
底下是有效降低物聯網相關風險和威脅的一些注意事項:
部署網路層安全防護。重要的是要記住,物聯網裝置在網路內部運作。雖然有些裝置可能會與外部系統或公共雲進行通訊,但大多數裝置仍與同一網路內的其他裝置通訊。如果這些裝置有任何一個傳送了惡意信號,沒有對網路內部進行監控的企業會無法偵測到這些裝置。在邊界防御的基礎上,網路層安全防護有助於防止此類狀況發生。
建立分開的網路。使用者最小化物聯網相關攻擊風險的另一種方法是為物聯網裝置和訪客連線建立分開的獨立網路。在WFH的場景中,使用者可以選擇將公司配發的裝置(如筆記型電腦)放在分開的網路,或讓它無法被家中其他裝置發現。網路分段有助於隔離入侵者或來自有漏洞裝置的感染。對企業和家庭環境來說,擁有分開的訪客網路也有助於防止網路攻擊和惡意軟體出現。
善用路由器的安全功能。既然路由器在網路中扮演重要的角色,因此了解和利用這些裝置的安全功能也相當重要。跟之前所提到的建議有關,許多路由器都內建了讓使用者建立跟主網路不同帳密的訪客網路。
盡量提高網路能見度。能見度是使用者確保網路安全的關鍵。即便是在企業環境裡,訪客也可能在資安人員知道前將智慧裝置連上企業網路。企業必須在網路內部配備必要的工具來監控這些連線。此外,這些工具不僅要辨識出哪些連線為必要或有風險,而且要在威脅進行前採取行動。
監控基準和異常的裝置行為。取得網路能見度的一部分是監控異常行為。這涉及到對每個裝置的了解,了解異常行為的樣子,就能夠更容易地發現可能的裝置入侵或透過網路散播的感染。
移除匿名連線。必須識別或命名網路內的每個連線。為每個裝置註記對應的標籤來減少或移除匿名連線,這能幫助使用者和組織更好地監控自己的網路,識別出可能不需要的連線。也會更容易找出需要從網路移除的問題裝置。
利用網路來執行政策。提供網路能見度和控制力的安全解決方案可以幫助使用者執行在整合物聯網裝置前實施的政策。利用網路的能力,他們可以移除匿名連線或違反政策的連線。
明智地選擇裝置。雖然網路解決方案可以幫助填補眾多裝置安全性不均衡所造成的安全間隙,但它們終究不是單一解決方案。因此,使用者在選擇裝置時要特別小心。比方說,建議使用者對當今市場上不同功能和類型的裝置做好研究和準備。此外,一旦選擇了要連線的裝置,建議要隨時針對該裝置的最新漏洞進行更新,這些漏洞通常會由廠商披露。
認真看待物聯網管理員角色。負責企業網路安全的IT專家在保護WFH方面的控制能力有限。因此家中的使用者或”物聯網管理員”必須要了解自己角色的職責,也要知道這角色的重要性,特別是現在需要長期進行WFH的現實中。
家庭和企業網路
使用者在處理物聯網安全問題時可以從許多有利的角度出發。網路提供了一個有利的起點,從這可以加強防禦以填補潛在的安全間隙。自最近的WFH興起以來,再次強調了加強網路安全防護的需求 – 不僅僅是企業,對家庭使用者也是如此。以此同時,當企業努力在遠端作業上,物聯網安全也被推到了前線。
透過了解網路在物聯網安全中的能力並實施裝置最佳實作,使用者可以運用這些技術來跨越不斷變化的需求以及企業和家庭網路間的模糊劃分。
- 對於多層次防禦,使用者可以採用全面性的保護措施,如趨勢科技PC-cillin
,透過在端點層偵測惡意軟體來對物聯網裝置威脅提供有效的防護措施。連網裝置還能夠透過安全軟體保護,如趨勢科技智慧網安管家 Trend Micro Home Network Security (HNS)
和趨勢科技Home Network Security SDK解決方案,能夠檢查路由器與所有連接裝置間的網路流量。最後,趨勢科技的Deep Discovery Inspector可以監控所有端口和網路協定來應對進階威脅,保護企業抵禦針對性攻擊。
原文出處:Safe and Smart Connections: Securing IoT Networks for Remote Setups
