企业很难保护、检测和响应由传统it资产组成的传统威胁格局,但这种格局似乎正在迅速扩展到传统it之外的领域。这些新领域包括运营技术(ot)、物联网(iot)和医疗物联网(iomt)。
来自非传统it环境的设备正在进入企业内网,进而衍生出影子it环境。这些设备不受管理,有些经理缺乏对这些设备关联风险的全面了解。更深入地掌握这些设备的信息可以帮助首席信息安全官(ciso)了解它们的运行是否正常。随着企业内联网设备越来越多,如果这些联网设备和影子设备没有内置安全性,那么攻击面也会随之扩大。数字化浪潮提供了新的攻击媒介,随之而来的就是巨大而深远的风险和责任。
不断融合的it和ot环境带来新的安全风险
工业企业将更多联网技术融入制造流程中,例如工业控制系统(ics)、监控和数据采集系统(scada)、分布式控制系统(dcs)、可编程逻辑控制器(plc)和智能传感器。制造环境中将设备安在装配线和机器人上,输油管道中装有压力传感器,而食品设备上装有温度传感器。通过安装众多这样的联网设备,企业可能会给关键基础架构带来更大的安全风险。
ibm的一项年度研究显示,2019年ot网络安全攻击增长了2,000%。是的,您没有看错-2,000%。随着运营组织和各行各业纷纷体验创新和连通,恶意攻击者可能会注意到这一现象并发起安全攻击。为了降低这些风险,企业可以采用运营技术安全战略。
企业正在对运营设备进行现代化改造,而传统的it系统依靠运营数据来优化和提高企业指标,这种情况下,这两个环境正在融为一体。传统的it基础架构可以控制运营技术领域的物理资产,这种融合会让it数据泄露将目标移向ot设备。2019年,ibm x-force incident response and intelligence services (iris)团队处理了一次数据泄露事件,在该事件中,勒索软件感染了it系统并横向移动到了ot基础架构中。这次攻击使得工厂停摆,并在全球市场上造成了连锁反应。此外,研究还表明,工业控制系统和操作技术面临的威胁可能会继续增加。
确保物联网安全的无代理方法
数字化转型与“万物互联”的结合可以重塑当代的商品和服务格局。此外,5g技术的兴起可能带来惊人的联网速度,并对联网设备的数量产生重要影响。看看办公室、工厂、医院和运输网络,您会发现整个组织内安装了无数的设备:
●证章访问系统
●电话系统
●笔记本电脑和台式电脑
●无线键盘、鼠标、打印机和蓝牙设备
●智能电视、智能监控摄像头和智能板
●智能照明、hvac和建筑管理系统
所有这些设备都是为了将信息互联并传输至其他设备和系统。但是,iot设备可能会导致企业安全风险迅速增加。为什么呢?iot设备通常未安装安全代理。安全代理是能够收集设备数据并启用设备保护的软件。但是,有些不受管理的联网智能设备不具备这一功能。这些问题可能使得攻击者能够更轻松地远程访问iot设备。ibm x-force threat intelligence index报告显示,命令注入(cmdi)攻击非常普遍,其中包含针对各类iot设备的恶意有效负载的下载指令。由于很多iot设备缺少监控这些攻击的安全代理,因此,我们需要采用无代理方法来洞悉设备及其在网络中的活动。
您如何采用无代理方法?机器学习(ml)和人工智能(ai)将在其中发挥重要作用。首先,安全提供商创建一个企业级组织设备知识库,然后将该知识库与设备行为众包引擎整合一体。该众包引擎使用机器学习和ai来确定设备何时出现异常行为。例如,如果客户端环境中的某个网络摄像头的表现与其他数百个摄像头不同,您就可以将其标记为潜在威胁。
iomt设备可能会影响医疗保健服务
此外,物联网正在将其连接性推向所有市场,包括医疗行业。医疗物联网通常是指一组全部连接到互联网的医疗设备、软件应用和基础架构。这些设备可能包括心脏泵、患者示踪器和输血泵等。从这些联网设备中捕获的患者数据能帮助医疗服务提供商制定更明智的决策。因此,这些设备面临的网络安全威胁可能会干扰护理并可能对患者造成身体伤害。ibm的threat intelligence index报告指出,医疗保健是2019年网络安全攻击针对性排名第十的行业。
简而言之,许多组织正处于数字化转型的征途中,这会增加设备的数量,并最终增加作为潜在安全目标的威胁媒介的种类。安全领域与组织的每个领域息息相关,包括ot、iot和iomt领域。
那么,我们如何对所有这些不受管理的联网设备进行威胁管理呢?
新技术领域需要集成式威胁管理
设备格局的融合对组织安全提出了新的挑战。例如,您需要分析物联网面临的攻击,以确定攻击者最终可能瞄准的it资产。在很多情况下,iot或ot设备仅用作攻击媒介,它将联网设备的安全性与传统it资产的安全性联系在了一起。
为了保护这些领域的安全,您需要采用集成方法来进行威胁管理,并且需要了解威胁管理是一个持续的任务。nist网络安全框架提供了覆盖整个威胁生命周期的系统性方法。nist概述了以下五项核心任务:
●识别组织的系统、资产、数据和设备
●保护资产,综合利用各项技术、策略和实践
●检测安全事件、异常活动和恶意行为
●响应检测到的事件和可疑事件
●恢复以便复原受影响的系统和数据
通过采用nist这样的标准化方法,您可以列出一个实用且合乎逻辑的事件管理方法,来帮助组织安全或事件团队的各项活动。基于标准的方法提供了可靠且可重复的方法,用于管理各种类型的安全事件,并在响应威胁时提供透明度、共享的术语表和可预测的结果。
借助此方法,您能获得以下潜在收益:
●可视性-发现所有联网设备并提供开放式凯发k8官网下载的解决方案
●速度-利用自动化技术,加快行动速度
●一致性-借助规范性行为,提高一致性
●质量-通过开展更丰富的调查,提高调查结果的质量
●伙伴关系-共同制定和执行安全成熟度路线图
●治理-提供例行咨询服务和持续优化
威胁管理是每个安全组织的核心与灵魂。通过采用标准化方法,安全组织能整合威胁和事件生命周期管理。通过在新的混合环境中执行nist功能,安全组织能够更好地管理网络安全风险。
适用于ot、iot和iomt的x-force threat management
ibm x-force threat management是一个服务和技术集成计划,旨在帮助您的组织实施整个威胁管理流程。我们的x-force threat management凯发k8官网下载的解决方案能够针对ot、iot和iomt领域实施nist框架,帮助您洞悉不受管理的联网设备。我们的凯发k8官网下载的解决方案提供:
●威胁洞察力-利用ibm x-force red进攻性服务和漏洞管理、x-force研究和威胁情报,以及咨询服务
●威胁防范-利用全球托管安全服务、siem管理、移动应用访问和虚拟安全运营中心(soc)
●威胁检测-通过x-force protection platform利用获得专利的人工智能、机器学习和自动化技术,实现连续监控和检测
●威胁响应-使用ibm resilient、ibm iris vision retainer以及响应专业知识,以可重复的方式快速响应威胁
●威胁恢复-使用ibm x-force iris、分析和业务连续性计划,帮助组织恢复正常运营
我们利用适当的技术发现您的环境中的潜在威胁,包括网络内外以及空域中的受管和不受管设备。ibm的x-force threat management整合了进攻性安全服务、托管安全服务、人工智能、事件响应和持续改进功能。ibm x-force threat management提供集成式威胁和事件生命周期管理功能。
作者简介
john wheeler
ibm security业务信息安全官、集成凯发k8官网下载的解决方案副总裁,在网络安全行业拥有超过22年的经验,从上世纪90年代后期开始成为新兴托管安全服务市场的先锋。
关于ibm security
ibm security是ibm的信息安全凯发k8官网下载的解决方案及服务部门,具有多年深耕全球和本地各行各业客户的经验。ibm security在全球守护95%的全球五百强企业和组织的信息安全,客户覆盖金融、医疗、汽车、科技、电信、航空等行业公司及集团,包括50家全球最大的金融和银行机构中的49家、15家最大的医疗机构中的14家,15家全球最大科技企业中的14家等。ibm security在gartner、forrester、idc和其他机构发布的12份不同的分析报告中,有12项技术凯发k8官网下载的解决方案被列为领导者,在产业中跻身首列。