针对 IoT 设备实施零信任的正确方法

针对IoT设备实施零信任的PaloAltoNetworks|针对物联网设备实施零信任的正确方法|白皮书1简介什么是零信任安全4针对物联网设备实施零信任的正确方法5针对物联网设备实施零信任的挑战5针对物联网设备实施零信任6零信任原则一：设备/工作负载6发现6风险评估7零信任原则二：评估8最低访问权限策略8网络分段策略8策略实施9零信任原则三：事务10持续监控10内置防御措施在整个基础架构中实施零信任10paloag'2网络和安全团队历来依靠网络边界防御措施来保护整个企业。内部网络被认为是可信且安全的。虽然外部的一切内容都被认为存在风险，但是内部网络中的一切内容都被认为是“干净的”，应用流量将不受限制地流动。然而，企•数字化转型：IoT设备采用率上升协助各企业增加价值、提高工作效率并降低成本。传统的网络边界不再是一个值得信任的圈层，企业面临的网络威胁和网络攻击增加就证明了这一点。现代企业网络现在必须考虑访问网络的所有类型的设备，从传统的IT设备到现在支持互联网并连接到网络的非常规IT设备，包括安全摄像头、HVAC、智能照明、智能百叶窗、输液泵、打印机、智能咖啡机、智能电视、虚拟助理、ATM和销售点终端等等，这些设备就构成了所谓的物联网(IoT)。这些设备将风险水平降至最低，并显著扩大了威胁面，零售20亿180%政府18亿162%医疗保健13亿244%$¥ε银行业6亿47%关键基础设施60亿177%基于120万个端点的PaloAltoNetworksUnit422020物联网威胁报告零售20亿180%政府18亿162%医疗保健13亿244%$¥ε银行业6亿47%关键基础设施60亿177%智能建筑47亿220%每天有1000万台新的物联网设备加入网络*30%以上的企业设备是物联网设备**2030年设备的预期数量，以及从2020年到2030年的增长比例。图1：根据Gartner的Machina数据库，预计各行业的物联网都将有所增长由于IoT设备通常具有漏洞、难以修补、缺乏安全控制，但对于网络的访问不受限制，因此IoT激增会为企业带PaloAltoNetworksUnit42的物联网威胁报告发现：•网络扫描漏洞利用(14%)•密码用户实践(13%)•蠕虫(12%)•勒索软件(8%)•57％的物联网设备易受中等或高严重程度•83%的医疗成像设备在不受支持的操作系统中运行paloag'3图2：不同行业的物联网攻击随着居家办公、BYOD、企业资源向云迁移和物联网趋势等传统网络边界的消失，以及网络威胁增加，采用零信任方法作为企业安全核心策略已成为必然。PaloAltoNetworks可将零信任定义为一种网络安全战略性方法，通过消除隐含式信任和持续验证数字交互的每个阶段来确保企业安全。此外，作为安全骨干的强大框架为企业提供了一识别资产、重要数据和交易流程采用零信任架构和“最低访问权限”控制持续监控和审核图3：零信任总体战略目标paloag'4PaloAltoNetworks概述了零信任框架及其遵循的指导原则，涵盖了企业内所有用户、应用和基础架构的安全设备/工作负载证开发人员、DevOps保护非托管物联网设备是实现基础架构零信任的重要支柱，指导原则有助于为非托管物联网设备定义实用零信任针对IoT设备实施零信任的正确方法上一节中概述的基础架构零信任框架指导原则转化为针对实现物联网设备零信任的更细化的指导原则。接下来是零表2：针对基础架构的零信任扩展到物联网设备设备/工作负载虽然市面上的许多解决方案都声称提供物联网设备零信任，但未能真正满足物联网安全的复杂需求。以下是实现物•基于代理的传统端点安全解决方案无法发现和管理。由于大多数物联网设备的处理能力和CPU较低，因此•大多数物联网发现技术仅可发现及分类含预填充签名的物联网设备。不幸的是，基于设备指纹或签名的方法•物联网设备较少被分配唯一的硬件标识符（与IT设备不同），并且这些设备是批量制造的。因此，大多数paloag'52.难以验证身份、定义策略和细分•大多数物联网设备不支持传统的企业身份验证和授权流程，如802.1X或单点登录。或者，由于设备分类不佳，MAC身份验证存储库(MAR)列表也不起作用。由于物联网设备是业务推动因素，网络团队必须手动启•分段策略和规则创建流程需要数小时的手动工作。此外，针对未托管设备的有限可视性使其更难以准确分3.难以持续评估•许多物联网和OT设备是关键基础架构的一部分，可主动探测或扫描这些设备以进行风险和漏洞评估，这也4.物联网安全解决方案缺少安全性•现有的物联网安全解决方案也不具备推荐零信任风险降PaloAltoNetworksIoTSecurity基于设备/工作负载、访问和事务三大支柱及其原则将物联网设备添加至零信任安全模型中，从而最大限度地降低物联网安全风险，让您的网络能够抵御网络攻击。PaloAltoNetworks使物联网设备极易实现零信任，从而提升了企业的整体安全态势。以下是企业如何通过PaloAltoNetworks的IoTSecurity零信任原则一：设备/工作负载识别包括物联网在内的所有设备物联网设备。PaloAltoNetworks的IoTSecurity是唯一一款无代理的物联网安全解决方案，使用机器学习(ML)和深度数据包检测以及众包遥测技术来发现和分类网络中的每个连接的物联网设备，包括从未见过的设备。与基于签名的传统被动式设备发现方法相比，机器学习是一种更优质的方法。随着5G等新型无线协议或混合居家办公模我们的IoTSecurity可分析200个参数，以准确地将每个设备的IP地址与其类型、供应商和型号准确匹配，从而展现50多个完整描述设备的基本设备属性。准确而细致的设备分类是区分非托管物联网设备和托管IT资产的必要以下是IoTSecurity提供的几大类情境信息。paloag'6?您从什么位置连接此设备•VLAN•子网•?您从什么位置连接此设备•VLAN•子网•无线/控制器•开关/端口?这是什么设备•AppleiPhone12•HikvisionIP摄像头•Zebra工业打印机?此设备上运行的内容•应用名称/版本•操作系统名称/版本•端点安全软件?设备所有人•企业•BYOD•影子?设备如何运行•确立基准•对比设备行为和其他众包设备•通信模式•云/网络通信图4：IoTSecurity可以在48小时内发现90%的设备，之后会发现更多2.风险评估应用零信任框架的下一步是以高置信度评估风险并确定物联网设备的风险级别。“风险”已经成为一个模糊的术语，并与“威胁”和“漏洞”互换使用。要真正理解风险，您需要知道其真正含义。风险是威胁利用漏洞来危害或破坏资产（本例中为物联网）的函数。因此，物联网设备风险基于三个载体来衡量：威胁、漏洞和资产环境。PaloAltoNetworks的IoTSecurity可检测和评估这三个载体中的风险。这是通过利用众包设备数据、基于机器学习的设备行为异常评估、专属Unit42威胁研究、CVE、第三方漏洞管理信息等完成的。威胁漏洞情境CVE•CVE•默认密码•生命周期结束的操作系统/应用/设备•过时的协议•云/网络连接•CVE跟踪静态|动态•错误配置•异常软件•补丁级别•应用名称/版本•内部/外部连接类型和频率•意外的数据传输量•设备行为异常•制造规格漏洞利用|恶意软件•物联网之间的异常连接•设备中的恶意文件•连接到有风险的网站•设备之间的异常流量•连接大量设备的个人设备图5：全面的风险框架和评估IoTSecurity可衡量风险情况并为其观察到的风险数量分配四个级别的分数：2.设备配置文件4.企业paloag'7在计算设备配置文件、站点和企业的风险分数时，IoTSecurity不仅会考虑特定组中单个设备的分数，还会考虑对原生和第三方基础架构的最低权限访问分段3.最低访问权限策略作为一项策略，最低访问权限是零信任的关键原则。最低访问权限为IoTsecurity策略，旨在为物联网设备提供最低级别的网络访问权限。由于大多数物联网设备都是“专门构建”的，并具有预测行为，因此允许应用最低访问•保持物联网设备运行的虚拟补丁：最低访问权限策略甚至可以阻止或限制易受攻击的设备访问特定资源，以此允许这些设备运行。在物联网/OT设备是业务驱动因素并且需要运行的情况下，这一策略非常有用，例如医疗服务•网络访问控制策略：最低访问权限策略还可用于限制物联网设备针对特定资源的访问，如今，人们必须完成多个劳动密集型步骤才能为每个设备配置文件定义和制定风险降低策略。手动步骤包括清点物联网设备、按设备类型或功能定义设备配置文件、建立行为基准、定义不中断业务运营的策略，以及与其他实施技PaloAltoNetworks的IoTSecurity是当今市场上唯一一个从风险评估到自动提供降低风险的零信任最低权限访问策略的解决方案。通过将数以百万计的物联网设备中的元数据与网络中的元数据进行比较，IoTSecurity可以使用其设备配置文件来确定正常的行为模式。对于每个物联网设备和设备类别，它提供了一个推荐策略来限制或允许受信任的行为，并帮助实施零信任策略，而无需费力的手动流程。在收集手动创建策略所需的应用使用情况、连接和端口/协议数据时，建议的策略为每个设备节省了无数小时。一旦经过审查，策略可以通过您的基于机器学习了解如何通过IoTSecurity的自动策略创建流程节省20倍的时间。遵循“从不信任，始终验证”的零信任指导原则，对物联网设备进行细分，这可以视为迈向零信任的一步。比如，将任务关键型心率监测器与成像系统安装在同一网络中对于医疗机构而言并不合适。基于设备配置文件的分段方法考虑了多种因素（包括设备类型、功能、任务关键性和威胁级别），提供的隔离方法能够显著降低交叉感染造成的PaloAltoNetworks新一代防火墙支持的IoTSecurity采用基于设备配置文件的精细细分方法，将这些因素考虑在内，以实现隔离。这大大降低了IT和物联网设备之间交叉感染的潜在影响。使用PaloAltoNetworks新一代防火墙(NGFW)作为分段网关，利用其固有的网络功能无缝部署到现有环境中，并允许针对网络中未托管的物联假设客户更愿意选择网络访问控制(NAC)解决方案来细分网络。在这种情况下，IoTSecurity提供了与CiscoISE、Forescout®和ArubaClearPass®的内置集成，以实现细分；然而，由于NAC仅在可以进行身份验证的设备中具有可视性，因此对于不能进行身份验证的物联网设备存在盲点，因为因此，IoTSecurity为NAC解决方案提供未托管设备信息发现功能，并提供额外的设备情境，以便对其进行智能分段。以下是我们的一个现场客户示例，展示了IoTSecurity如何插入NAC解决方案的可视性和情境盲点。paloag'8表3：了解IoTSecurity如何插入NAC盲点MACNAC识别00:*0:7*:73:37:5*AmbiCom设备Carefusion输液泵基站c8:2*:*4:56:27:06Apple设备08:60:6*:*8:06:83Asus设备00:08:74:*2:50:*5Dell设备DICOM指示器00:2*:5*:6*:06:72HP设备DICOM录像机00:09:6*:*6:60:7*IBM设备00:*0:*4:2*:*0:945,958个12,012个表4：已发现的NAC和IoTSecurity设备NACIoTSecurity已发现的设备：5,698个已发现的设备：12,012个IoTSecurity情境：AmbiCom设备AmbiComCarefusion输液泵基站物联网设备的情境感知分区可确保这些设备具有最低访问权限，并且仅连接到所需应用。此外，此功能可确保设备4.策略实施IoTSecurity可以通过其新一代防火墙或通过第三方实施点来实施推荐的零信任安全策略。下文概述了实施方法：•通过PaloAltoNetworks新一代防火墙一键执行推荐操作。获得专利的Device-ID™策略结构可跟踪整个网络中的单一设备，并在基于机器学习的新一代防火墙中为可能发生的任何警报或事件提供详细的情境信息，无论设备的IP地址或位置是否发生变化。此外，策略规则和第7层控制会随着位置和已识别风险的变化而自动更新。请参见表5，了解Device-ID如何增强可扩展性，以及如何快速针对威胁进行补救和响应。•通过NAC与CiscoISE、Forescout或ArubaClearPass的集成来执行推荐策略。表5：Device-ID如何帮助管理员快速准确地实施策略没有Device-ID有Device-ID将IP地址作为设备标识的代理无法提供准确的设备依靠用户、网络或设备管理员来正确解决设备问题很容无论设备连接到何处或如何配置，都可以执行一致的对外部系统（如NAC或资产管理）的依赖要求构建和使用IoTSecurity直接输入Device-ID，无需复杂威胁或事件调查需要SOC接触多个系统，以跟踪哪个SIEM收到带有设备信息的威胁警报paloag'9扫描基础架构中的所有内容是否存在恶意活动和数据窃取5.持续监控持续监控是完成物联网设备零信任安全循环的最后一步，也是至关重要的一步。即使设备已配置并保存在正确的分我们基于机器学习的IoTSecurity可自动确定设备身份并验证是否为“正常行为”。一旦确定了“正常行为”，该解决方案就会启动异常检测，以发现并优先处理任何与基准质检的潜在偏差。我们的机器学习建立了第7层物联•IoTSecurity