多年来,网络安全专业人员对众多物联网(IoT)设备匆忙上市的现象感到惋惜。我们为何会如此关注?早在早期,连接互联网的茶水壶, 安全摄像机甚至是一个冰箱的想法对很多人来说似乎非常方便。为什么信息安全专家会如此关注?
网络攻击中的横向移动已经成为最常见的攻击载体之一,大多数将物联网设备连接到家庭网络的人并不熟悉网络分段等内容,甚至不知道如何启用访客网络,后者可以使这些设备与更有价值的资产隔离,例如可能存储有机密信息的家庭电脑。
除了家庭网络,企业网络也面临着来自物联网设备的风险,这在臭名昭著的 赌场水族馆 攻击中深有体现。幸运的是,这种有据可查的攻击似乎更像是一个例外,而不是常态,但是,这些要点很明确:
- 大多数物联网设备在制造时都没有考虑到安全问题。
- 大多数人都没有意识到这些产品可能存在的漏洞。
- 很少有制造商会设置更新机制来修补这些缺陷。
物联网的情况是否有所改善?显然,这还不足以给网络安全界,甚至是广大公众带来安慰。安全不是唯一的问题,隐私也很重要。一项最近的调查显示,63%的受访者表示,他们”发现互联设备收集人们及其行为数据的方式很’恐怖'”。是否有办法解决这些现在无处不在的设备的安全和隐私问题?
来自NIST的新的指导意见
幸运的是,美国国家标准与技术研究所(NIST)的新指南可能已经提供了帮助。例如在新的跨部门报告(IR)中,”物联网设备制造商的基本网络安全活动“, “物联网设备网络安全能力核心基线“,以及一份新的特别出版物草案,”联邦政府物联网设备网络安全指南“,NIST提供了可以提高这些设备信任度的方向。这些新的文件会继续巩固 网络安全框架。
物联网设备怎么可能进入联邦信息系统而不受到适用于所有其他系统组件的严格标准的约束?正如SP800-213的介绍中说明的,物联网设备属于 “信息系统 “级别以下,在更多的 “系统元素 “级别下运作。该特别出版物的目的是协助联邦机构从该 “设备角度 “考虑系统安全。
一些安全专家可能疑惑,鉴于所有关于物联网安全漏洞的坏消息,诸如此类设备在网络上能起到什么作用。NIST的文件从更实际的角度出发,表明物联网设备实际上是支持系统安全的。这并不像看起来那么牵强。我们网络中使用的许多 “传统 “工具,从温度传感器,到备用电池电压监测器,甚至是数据中心的门警报器,都属于系统元素的范畴。
实用建议
NIST的方法是一个非常实用的观点。可以说,如果应用得当,守护物联网设备的安全能够比传统系统提供更好的安全控制,有些传统系统的防护措施仅仅是拨号调制解调器,很容易受到诸如简单的战争拨号攻击。
但这绝不应该被理解为NIST在否定物联网设备的固有风险。这就是该跨部门报告发布的作用所在。NIST.IR.8259A从制造、集成和收购的角度,为建立物联网设备基线提供指导。在IR.8259中,”物联网设备制造商的基础网络安全活动 “提出了物联网制造商在其设备上市之前可以嵌入的方法。
如果这些准则能被遵守,再加上 NIST.IR.8228中题为 “管理物联网网络安全和隐私风险的考虑因素 “的报告中提出的物联网隐私方向,我们可能真的进入了一个物联网安全的新时代,最终可能使所有人受益。虽然所有的建议都很实用,但最好由持证的网络安全专业人员来处理和实施这些建议。
没有后视镜
在NIST.IR8259中,有一点值得注意,那就是”本出版物旨在为新设备而不是生产中的设备的制造提供信息,尽管本出版物中的一些信息可能也适用于后者。”
这意味着制造商没有义务保证之前生产的设备的安全。
总的来说,正如NIST所有文件中所明确的那样,这些都是指导方针,不具有任何监管效力。然而,任何长期关注NIST出版物的人都会敏锐地意识到,这些出版物往往先于法规的制定。
适度的谦逊
NIST基线文件的作者也明确指出:
“这个基线并不是唯一存在的一套能力。这个基线代表了一种协调的努力,以产生一个共同能力的定义,而不是一份详尽的清单。因此,实施组织可以定义更适合其组织的能力。鼓励运用这些额外的能力来支持物联网设备的网络安全风险管理”。
一如既往,作者谦虚地指出,他们的文章不是这个主题的最终版本,总会有更多的发现和不断改进的空间。不管怎样,很高兴终于看到围绕物联网安全的一些统一思想。
CISSP如何帮助您获得成功
如果您想更好地了解创建NIST文件的推理和深思熟虑,没有比CISSP通用知识体系(CBK)更好的学习课程了。CISSP知识域为学生提供了一系列广泛的主题,在为任何组织建立或维护有效的安全计划时必须考虑到这些主题。
正如NIST出版物在探讨一个主题时不留空白一样,CISSP CBK对主题的严格审查也相当于一个完全实现的安全计划。
此外,CISSP还让学生了解到,安全是一个持续的过程,就像任何科学一样,新的发现将推动人们在更安全的信息系统方面取得进展。
更多详情
作为一名安全专业人员,CISSP认证会把您带向何方?在我们 访谈系列 最新一期对克里斯蒂娜-伊祖阿科博士,Cyber Pop-up 的创始人兼首席执行官的访谈中了解更多可能性。
想了解更多CISSP的信息,请阅读我们的白皮书 成功的网络安全领导者需要具备的9个特质。