拆解物联网系列：安全挑战以及您可以采取的措施

网络工程师在部署物联网 (IoT) 计划时面临许多挑战。在接下来的几周内返回思科物联网博客，我们将深入探讨三大物联网挑战以及克服这些挑战的最佳实践。

首先，从长远来看，物联网面临的最大挑战：安全 .

物联网安全威胁与传统 IT 环境中的安全威胁有很大不同：在传统 IT 中，安全问题首先关注保护数据。攻击者可以窃取数据、破坏数据并勒索赎金。最近，他们对窃取计算能力用于恶意挖矿活动同样感兴趣。

虽然物联网中存在这些安全问题，但它们也更进一步，扩展到数据之外，进入物理世界。至少，物联网安全事件会给人们带来不便或中断运营，在短短几个小时内造成数百万美元的损失。在最坏的情况下，这些攻击可能会损坏控制物理过程的系统，甚至使生命处于危险之中。考虑以下示例：

• 2010 年臭名昭著的 Stuxnet 攻击利用了 Microsoft Windows 软件中的多个零日漏洞。目标是检测和破坏运行西门子 Step7 软件的 PLC，以便用恶意软件对它们重新编程，从而导致在其控制下的快速旋转的核离心机从字面上撕裂自己。这次袭击的最终结果是伊朗五分之一的核离心机被毁。
• 我们在 2015 年见证了第一次成功的电网网络攻击，当时网络攻击者控制了多个乌克兰发电站，导致超过 225,000 名居民断电长达 6 个小时。这种复杂的多阶段攻击不仅控制了 SCADA 系统，允许外国参与者远程关闭变电站，而且还包括对呼叫中心的 DoS 攻击，使消费者无法打电话报告问题或接收更新停电状态。
• 2017 年，攻击者部署了名为 Triton 的 ICS 恶意软件，旨在操纵工业安全系统，从而导致关键基础设施的运营中断。攻击者对安全仪表系统 (SIS) 的特定目标表明，他们有兴趣发起具有物理后果的高影响力攻击（网络犯罪组织通常不会看到这种攻击目标）。对事件的分析使调查人员相信这是一个民族国家为更广泛的攻击做准备的工作。
• 2019 年，全球最大的铝制造商之一 Norsk Hydro 遭到勒索软件攻击，迫使该公司改用人工操作以遏制违规行为。这次攻击使该公司损失了 5200 万美元，并导致全球铝价上涨。

这些事件表明安全在物联网场景中的重要性和挑战性。

预防和遏制物联网安全威胁

在上面的示例中，使用网络安全最佳实践：分段，可以完全防止安全漏洞，或者至少可以显着遏制。分段是为了安全而部署的最有效的网络设计原则之一。这是一个普遍接受的网络公理——但如果是这样，为什么组织不完全分割他们的网络？

答案是：这很复杂。

为了降低成本，组织已经将他们的数据、语音和视频网络融合到一个共享的物理基础设施上。最近，物联网设备也被添加到同一个 IP 网络中。但是，出于安全和管理目的，有必要在这些服务之间保持逻辑分离。为此，网络工程师通常使用 VLAN 对网络进行分段。此过程需要多个步骤、接触点、策略和用户界面。在较高级别，网络工程师必须在 Active Directory 中创建组、定义策略、执行 VLAN/子网并实施策略。

分割的复杂性不仅使任务变得乏味，还增加了人为错误的风险。例如，网络设备上的访问控制列表 (ACL) 通常长达数万行。由于条目中每一行的记录不充分的原因，它们很难管理和理解。如果从一台设备到另一台设备的 ACL 存在差异，则存在潜在的漏洞和可被利用的攻击向量。

将思科安全带入物联网

鉴于网络分段在保护网络资产方面发挥的关键作用，网络管理员能够有效地对网络进行分段至关重要。在思科，我们通过将基于意图的网络应用于企业网络来简化分段。这种基于意图的网络的特定表达称为软件定义访问 (SDA)。

软件定义访问消除了网络管理员使用访问控制列表或组策略语言来确定哪些网络设备可以相互通信的需要。只需单击几下并拖放鼠标，网络管理员就可以为语音、数据、访客无线接入、BYOD、IoT 等建立单独的虚拟网络。今年，我们将这些功能一直扩展到物联网边缘——这样停车场、配送中心、制造设施、机场、海港等都可以通过与铺有地毯的企业（即思科）相同的单一玻璃面板进行管理DNA中心。

使用 Cisco DNA Center（一个集中管理仪表板），网络管理员可以在整个企业范围内调配网络，并确保分配给一个虚拟网络的设备无法与另一个虚拟网络上的设备通信。事实上，一个虚拟网络上的设备甚至无法看到其他虚拟网络。就他们而言，他们所连接的虚拟网络是唯一存在或曾经存在的网络。这意味着分配到 IoT 虚拟网络的 IoT 设备只能与分配到同一虚拟网络的其他设备进行通信，而没有其他设备（也没有其他设备）。这种逻辑分离称为宏分段。

但是，SDA 为网络管理员提供了更精细的策略选项。

在宏分段中，虚拟网络中的任何设备默认都可以与同一虚拟网络中的任何其他设备通信。因此，如果摄像机、温度传感器和徽章阅读器都分配到一个“物联网虚拟网络”，那么这些设备——默认情况下——将能够相互通信。此类通信可能会带来安全问题——如果单个设备受到威胁，攻击者将使用该设备扫描网络以查找可能为组织提供进一步立足点的其他设备（观看如何进行）。这就是微细分的用武之地。

在 Cisco DNA Center 中，网络管理员可以轻松创建微分段策略，定义哪些设备可以与同一虚拟网络中的其他设备通信 . （观看演示，带有 DNA-C 的 Cisco Extended Enterprise。）管理员还可以配置策略，以便在这些设备尝试与未经授权的设备进行通信时发送警报，这可能表明存在潜在的安全攻击。在我们上面的示例中，摄像机可以配置为仅与其他摄像机通话，如果它们尝试与温度传感器或徽章读取器通话，则会发出警报。

使用 SDA 在宏观和微观层面对网络进行分段的能力是防止和遏制安全漏洞的绝佳解决方案。它可以轻松扩展以满足企业网络的需求，现在思科客户可以将这些相同的概念应用于他们的物联网网络。此外，他们可以使用与企业网络相同的管理界面来高效和有效地执行此操作。想了解更多？查看我们的点播网络研讨会思科物联网：推动公共安全、石油和天然气以及制造行业的转型。不要忘记查看思科物联网博客，了解企业物联网面临的其他主要挑战。