IoT的将来 零信任访问策略
发布时间:2022-08-26 10:31:56 所属栏目:安全 来源:互联网
导读:全球将部署189亿台物联网设备,在这庞大数字的背后,随之而来的安全问题也愈发重要,一旦出现网络攻击事件,将有可能造成物联网设备失控、采集到的信息被篡改,物联网平台中的敏感数据泄漏等严重后果。 企业若要制定针对单个IoT设备的用途及需求的零信任访问
|
全球将部署189亿台物联网设备,在这庞大数字的背后,随之而来的安全问题也愈发重要,一旦出现网络攻击事件,将有可能造成物联网设备失控、采集到的信息被篡改,物联网平台中的敏感数据泄漏等严重后果。 企业若要制定针对单个IoT设备的用途及需求的零信任访问策略,仅仅了解设备的品牌和型号是完全不够的,还需要了解异构物联网环境,要知道每个IoT设备的用途和需求。 1. IoT零信任访问策略只被少数人采用 然而只有少数企业做到这一点。EMA的调查表明,现在大多数企业都没有制定这种IoT访问策略: 只有36%的企业正在制定针对用途和需求的零信任IoT访问策略。 相反,有28%的企业采用降低粒度的方式是:创建通用的、最低级别的访问权限,如物联网VLAN。这种细分可能导致更高的安全风险,举个例子,一是将数据推送到云端的IoT传感器、二是从云端提取敏感数据的传感器,这两种传感器在这种策略引擎中是不会被区分的,它根本不考虑不同的风险级别。 另有23%的企业认为IoT设备不可信,这种想法严重限制了他们的网络访问。这意味着IoT设备根本无法访问敏感资产,企业可以通过物联网实现的应用类型少之又少。 还有12%的企业完全不信任物联网。在这种情况下,他们不得不使用像LoraWAN或LTE这样的移动网络服务来连接到云端,完全绕过企业网络。 2. 复杂性是问题所在 为什么大多数的企业没有实施IoT细粒度访问策略? 是因为缺乏可见性吗?然而,84%的企业表示,他们对物联网传感器等非托管设备有足够的可见性,可以确定网络访问权限。 实际上,问题的症结可能在于实现的复杂性。在大型企业中,设备类型太多导致无法完全分类,企业不可能花费大量的时间来定制IoT访问权限,这太复杂了,对他们来说,构建粗略的访问策略更为简单粗暴。 3. 如何创建定制的IoT零信任访问策略 IT领导层态度是成功的关键。 IT领导层的态度是成功创建零信任IoT的关键,领导的大力支持也意味着将会有一个正式的零信任网络计划、有专门用于实施的组织,有良好的预算等等。 EMA的研究发现,一些因素在创建策略时非常重要: IoT设备的安全状态是最重要的变量,在授予访问权限之前,零信任网络要检查防病毒和反恶意软件的状态。 设备漏洞和风险、设备所有者(例如,业务部门)、观察到的网络行为以及操作系统状态都是IoT零信任访问策略的次要变量。 设备品牌和型号、相关的应用程序是策略设计中最不重要的参数,仅少数组织会使用。 包含设备漏洞检测和风险评估的策略往往会更成功。 网络基础架构团队和信息安全团队之间的协作,可以帮助制定这些IoT访问策略。 (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号