物联网边界防护解决方案
物联网概念

在比尔·盖茨1995年创作的图书《未来之路》中第一次谈到了物联网的概念,只是当时受限于无线网络、硬件及传感器的发展,并未受到世人的重视。


据百度百科定义,物联网(Internet of Things,简称IOT)是指通过各种信息传感器、射频识别技术、全球定位系统、红外感应器、激光扫描器等各种装置与技术,实时采集任何需要监控、连接、互动的物体或过程,采集其声、光、热、电、力学、化学、生物、位置等各种需要的信息,通过各类可能的网络接入,实现物与物、物与人的泛在连接,实现对物品和过程的智能化感知、识别和管理。物联网是一个基于互联网、传统电信网等的信息承载体,它让所有能够被独立寻址的普通物理对象形成互联互通的网络。


随着软件、硬件、网络传输的飞速发展,当前的IoT设备已经融入了我们生活生产的方方面面并发挥重要作用,生活中常见的如IPC、IPTV、IPPhone、Printer、Watch等;制造业中的PLC、HMI;医疗行业中的心电图仪、体征监控仪;能源行业中的分门别类的Sensor等。


发展现状

IoT的应用领域涉及到方方面面,在工业、农业、环境、交通、物流、安保等基础设施领域的应用,有效的推动了这些方面的智能化发展,使得有限的资源更加合理的使用分配,从而提高了行业效率、效益。在家居、医疗健康、教育、金融与服务业、旅游业等与生活息息相关的领域的应用,从服务范围、服务方式到服务的质量等方面都有了极大的改进,大大的提高了人们的生活质量。


根据中商产业研究院数据,我国物联网规模从2009年的1700亿元增加至2019年的17732亿元,年复合增长率为26.42%。国家先后出台多项重大物联网发展政策,包括物联网专用码号资源分配和使用证、全面推进IoT 建设发展意见等,政策驱动物联网发展驶入快车道。


image.png


此外,从Statista的数据来看,到2020年底,全球IoT设备数量将超过307.3亿台,全球平均每人使用4台IoT设备(截止发稿时,据公开消息统计,全球人口为75亿),如此大规模、大范围的使用IoT,不仅提高了生产效率、与生活质量,也使得IoT成为信息安全攻击的众矢之的。


安全威胁

传统的互联网发展成熟、应用广泛,尚存在安全漏洞。物联网作为新兴产物,体系结构更复杂、没有统一标准,各方面的安全问题更加突出。IoT所暴露的安全问题越来越多,被关注度也与日俱增。2015年7月,菲亚特克莱斯勒美国公司宣布召回140万辆配有Uconnect车载系统的汽车,黑客可通过远程软件向该车载系统发送指令,进行各种操作。例如减速、关闭引擎、让刹车失灵等,严重危害人身安全。在2015年8月的黑帽大会和世界黑客大会上,包括汽车在内的各种智能设备都被爆出安全漏洞,黑客利用安全漏洞可以控制智能手机、汽车、交通红绿灯,甚至搭载有智能狙击镜的高级狙击步枪。在2016年的RSA2016大会上,隐私顾问Rebecca Herold表示,大量IoT设备的发布,没有任何安全和隐私控制。一些暴露在互联网上的IoT设备被感染了蠕虫病毒,并定期发起拒绝服务攻击。再如最近发现的“CallStranger”安全漏洞,黑客可借此漏洞窃取资料、发动分布式拒绝服务攻击(DDoS)或扫描连接端口。但凡Windows 10操作系统、Xbox One游戏主机,乃至各种型号的打印机、调制解调器、路由器与电视皆为众多受此漏洞影响的产品之一。


在使用物联网的过程如何做到信息化和安全化的平衡至关重要 ,也同时是管理员及信息安全供应商亟待解决的问题。



防护思路

常见的五种IoT攻击手段包含“僵尸网络”、“中间人攻击”、“身份认证”、“社会工程学”、“拒绝服务”。仔细分析这五种攻击手段中我们不难发现,不管攻击技术多高超,攻击手段多复杂,攻击的展开与实现一般分为三个基本步骤:


1、攻击者接入IoT网络进行网络扫描或者流量分析,了解当前网络中的设备类型、OS种类、应用组成;


2、攻击者通过网络扫描机或流量分析的结果,从系统内核、网络协议、应用组成三个方面分析当前网络中存在的安全漏洞;


3、接下来攻击者使用撞库的方式破解IoT登录口令或者通过网络调用的方式诱发系统漏洞进而获取登录权限,执行后续的数据窃取与业务可用性攻击;


从以上步骤我们得知,黑客接入IoT网络是发起所有网络攻击的先行条件,若在IoT网络边界打造铜墙铁壁,阻断所有非法接入的设备便可大概率降低IoT攻击事件的发生,再辅以流量清洗、IDS、WAF、防毒墙等安全设备,可有效减少信息泄露事件与业务宕机事件。


IoT边界防护解决方案

北京艾科网信科技有限公司成立于2007年,在国内最早提出网络ID化的理念,在全网可视化的基础上实现网络边界准入,改变了传统“终端准入”只管理终端的现状,一举帮助用户升级到包含“IoT准入”和“终端准入”在内的下一代网络准入管理。帮助用户从手工管理进化到自动化管理的水平,艾科网络接入控制技术让网络可视化和网络准入真正成为可能,弥补传统准入控制的盲区,强制安全策略有效执行,适应复杂的网络环境。


艾科网络接入控制系统通过三个步骤对IoT网络边界进行安全防护:


1、态势感知

接入控制系统启用后,立即进入学习状态,对当前网络结构拓扑、网络节点组成、IoT类型与分布、IoT的OS与应用类型、IP地址分布与使用状态、网络接口占用情况与启停状态等多个维度的数据进行统计与汇总,形成IoT综合汇总图表。


image.png


image.png


2、安全建模

得益于“态势感知”中的学习数据,接入控制系统可进行数据分析与安全基线建模。通过设备类型与厂商型号两个维度将IoT进行分类,实时获取IoT部署安装情况;依据OS与应用类型产生IoT唯一性基因数据;配合子网划分情况对当前IP地址使用状态进行在/离线状态与持续性在线时长统计;基于网络节点部署状态,配合各节点网络设备基础通讯设备的端口启停状态,进行网络拓扑图绘制,最终产生IoT基线安全模型。形成IP-MAC-Port-Topology-Type-Factory-Unique Identifier多因素网状结构表。


image.png


3、监控防御

在完成“安全建模”的基础上,开启主动监控与防御功能,实时感知网络结构与IoT设备变动行为。当有网络节点或IoT设备加入网络后,首先基于模型进行安全基线扫描,若加入的节点或IoT设备符合基线安全模型则直接放行,可正常执行业务访问与数据通信;若加入的节点或IoT设备与基线安全模型不同,则主动实施多项阻断策略,包含阻断其网络层数据通信及切断数据链路层网络接入端口两种方式,并且产生管理员告警日志,便于管理员获取非法接入事件。当管理员对新接入且不符合基线安全模型的节点与IoT设备完成审核后,接入控制系统会自动对其进行感知与学习,扩展基线安全模型。


通过以上三个步骤形成灵活的、动态的安全防御机制,规避任何形式的非法接入事件,进而防止未授权的网络扫描与感知行为,降低安全攻击行为的发生概率。


部署模式

艾科网络接入控制系统支持单机、双机、分布式等灵活的部署方式,所有产品均以纯旁路的形式进行部署,部署与调试期间不影响正常业务的流转与交互,适用于大、中、小不同规模的网络结构,十多年来积累了多个行业大量的成功案例。


image.png


收益

1、经济效益

实施准入控制解决方案,构建明确的网络边界,可以防止非法终端接入内网,避免因机密信息失窃造成可能的经济损失;可以对网络攻击行为进行预警,避免影响组织业务的持续性。其次,准入控制系统可以实时识别、分类、统计组织IT资产,明确资产可用性、安全性,为IT采购部门提供实时数据,减少IT建设中重复投资现象,提高IT建设投资的整体回报率。


2、社会效益

准入控制解决方案兼顾管理和安全两方面,管理方面有助于提高管理员工作效率,减少网络管理工作耗时,加速业务流转,增强组织资源输出能力。安全方面,加强组织(如:铁路、银行、电力、民航、水利、能源等国民生产、生活依赖基础行业)信息安全风险抵御能力。减少信息系统受到破坏的可能性,杜绝影响公民、法人、社会秩序、公共利益、国家安全事件发生。