“看得见”到“管得了”:物联网终端的安全管理
在以往,电力的端点可以说是家家户户的电表,运维靠的是基层员工走街串巷,查电表、修线路、抓偷电。电力物联网的出现让老一辈抄表员不再跑断腿。随着新能源汽车的兴起,时代要求电力系统做新能源汽车的“加油站”,即充电站。在电网概念中,充电站仍然以电表为端点。但在物联网概念中,充电站是一个子网,这个子网中至少有智能电表、充电桩、摄像头。传统的端点从一个电表变成了几十上百个IoT设备。要保障这一物联网的健康运行,势必要解决合法设备便捷接入网络,防止入侵及IoT设备风险评估等问题,以保护物联网的安全。因此,终端准入与访问控制对于电力物联网而言十分必要。本期发布牛品推荐——上海宁盾:物联网(IoT)接入安全场景解决方案。
#牛品推荐第二十四期 #
01标签
终端合规检测,网络准入,访问控制,资产管理,可视化拓扑,风险告警
02用户痛点
1、如何让合法设备便捷地接入网络
新的IoT管理必须为业务高速发展提供支撑。传统准入方法是在IoT设备上配置802.1x认证,或者配置MAC地址白名单。问题在于,一是多数新型哑终端无法支持802.1x认证,抬高了设备门槛,让采购丧失灵活性;二是传统方法基于静态信息,新业务的快速开展一定存在大量的设备增加和变更,甚至设备品牌的变化,基于静态信息的准入让运维效率变得低下。
2、如何探测植入或入侵
电力物联网是一个TCP/IP网,基于防火墙做了网络边界防护。充电站有许多IoT设备暴露在建筑物外部,比如充电桩和摄像头,这些设备在网络边界内部却在物理边界外部,不法人员很容易通过室外的物理端口接入,对网络边界内部发起攻击。
3、如何动态评估IoT设备风险,做到有备无患
IoT设备的一大特点是固件不易升级,安装运维特点是默认密码不修改,为长期运维留下隐患。随着时间的推移,不断会有设备爆出漏洞。对IoT设备进行风险评估是一个比较新的领域,除了对单一设备动态评估,还需要对网络区域安全风险做整体评估、排名,对高风险设备做告警,甚至隔离网络。
03解决方案
解决上述问题,首先要做到“看得到”,从而实现“管得了”。
首先,要探测到网络中所有终端,形成整体视图,能够识别出“合法设备”和“非法设备”。这需要探测终端的设备类型、MAC地址、地理位置等,并且与本地资产库或者联动外部资产库匹配终端,能够匹配的为合法终端,匹配不成功的标记为非法终端。
其次,持续检测终端指纹,一旦终端指纹变化,意味着其MAC地址可能被伪造,需要标记为安全事件,并自动联动网络设备限制其接入。
除此以外,需要联动第三方IoT漏洞检测系统,收集和统计终端威胁,形成风险评估列表,让风险设备也能被看到。
宁盾解决方案中完整的系统组成包括宁盾探针、宁盾IoT中控、IoT漏洞探测(可选)、客户自运维的大数据分析平台(可选):
宁盾探针:充当网络“摄像头”和策略执行器,通过流量镜像发现、探测终端信息。探针在IoT设备流量比较小时单台容量很大,每个地市部署1至2台即可;
宁盾IoT中控:它是泛终端资产及风险管理中心,它提供集中资产视图(联动)、集中终端视图以及终端风险视图;
IoT漏洞探测系统:在宁盾探针发现终端设备后,对其定期扫描,丰富终端风险视图,使宁盾系统可根据风险评级自动告警或者限制网络接入;
大数据分析平台:客户自有平台,宁盾有可将终端设备的各种信息和动态发送给第三方。
资产定义或联动:
终端集中可视化:
终端风险视图(联动OpenVAS效果):
04方案特点
该方案放弃边界防护思路,采用基于无边界的“零信任”机制解决终端问题,在执行层面,通过全程“可视化”替代传统基于Agent方式来实现终端信息收集问题,通过打造开放性与第三方联动,承担泛终端安全管理连接器及感知中台。
1、创新点:
自动化:在设定规则之后,它能够自动发现泛终端;
开放生态:与以往试图提供整体解决方案不同,它尝试打造一个解决问题的生态体系,通过与各种安全产品联动、大数据平台联动,整体解决爆发式增长泛终端的资产及安全管理问题;
基于学习式:通过机器学习,不断扩大终端识别库以及提升终端行为判断精准度。
2、技术优势
- 自动实现终端资产分类,提升资产提供的精准度、实现实时终端资产统计及更新时间、替代传统手工统计方式无法实现全局收集难题,降低管理成本;
- 终端规模越大,识别代价越低、精准度越高;
- 自动识别风险终端,并能够定位终端的身份、位置、设备类型、风险情况,大大提升发现及解决问题效率;
- 开放连接架构,提升联动解决泛终端安全问题能力,能够连接不同厂商安全能力、数据能力,实现联动解决泛终端安全问题,如DLP、漏洞管理、SIEM及态势感知等联动。
05用户反馈
“宁盾终端准入产品帮助提升IT基础设施的可视化,有效识别入网终端身份信息及安全情况,阻隔非法终端接入,并自动对异常终端进行隔离,自助修复,保障了企业内网资源安全。”
——来自某人工智能公司
“对于接入网络的终端,宁盾提供完善的终端准入安全审查防护功能,能够有效的对入网终端进行合规性检查。通过客户端/无客户端的模式,简化了用户准入流程,提高了用户产品体验。兼容现有网络架构,无需进行网络改动,支持与第三方平台进行联动,加强企业内部网络安全。方便、经济、高效。”
——来自某芯片半导体公司
“宁盾终端准入解决方案提升企业对终端管控的可视化能力,包括发现连接到企业内部PC、手机、物联网设备、网络设备等,以及受信及非受信终端,并进行灵活的入网安全控制。高效便捷及生态联动能力,实现企业网络环境整体防护。”
——来自某物联网科技公司
“分布式部署模式能够灵活适应企业组织架构,实现企业对终端准入的集中管控要求。通过对终端入网进行安全检查,有效防止不合规终端或不符合安全要求的终端入网,让不安全变得可见。例如,防病毒软件未及时更新、操作系统补丁未及时更新、安全不合规软件等行为。切实提高了企业内网的安全基线。”
——来自某大型金融企业
安全牛评
当业界在推动产业物联网高速发展同时,物联网安全问题也给我们敲响了警钟。近两年,国内外挖矿、设备劫持事件频发,智能家居产品不断爆出安全漏洞,漏洞被利用时将造成不可逆的经济损失,同时也反映在物联网产业建设初期,安全作为物联网应用的基础设施的重要性。“攻击来源繁杂、攻击危害巨大、传统防护乏力”是物联网安全的三大特征。
宁盾科技物联网终端安全解决方案,实现了 “可视化”物联网资产发现和终端信息收集,通过第三方安全平台,实现了自动识别终端风险,大大提升发现及解决问题效率。
