零信任：保護(hù)IoT設(shè)備和構(gòu)建IT和OT網(wǎng)絡(luò)的3個(gè)步驟

增加安全措施的需要每天都在增加。隨著技術(shù)的發(fā)展和滲透網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)的方法的發(fā)展，識(shí)別在線的不良行為者變得越來(lái)越困難。這在當(dāng)今遠(yuǎn)程訪問(wèn)企業(yè)數(shù)據(jù)、運(yùn)營(yíng)技術(shù)(OT)網(wǎng)絡(luò)和由控制器、傳感器和數(shù)據(jù)聚合器組成的智能建筑系統(tǒng)的世界中尤為重要。

一段時(shí)間以來(lái)，商業(yè)建筑中的通用網(wǎng)絡(luò)連接和部署傳感器或物聯(lián)網(wǎng) (IoT) 設(shè)備一直受到關(guān)注，因?yàn)榻ㄖI(yè)主、設(shè)施管理人員和承包商正在尋求提高效率、更強(qiáng)大的運(yùn)營(yíng)性能和改善居住者舒適度的機(jī)會(huì).

但是，端點(diǎn)越多，漏洞就越多。因此，利益相關(guān)者需要考慮安全問(wèn)題，以確保這些新設(shè)備不會(huì)成為攻擊媒介，不僅會(huì)給建筑物的運(yùn)營(yíng)帶來(lái)風(fēng)險(xiǎn)，還會(huì)給租戶的運(yùn)營(yíng)帶來(lái)風(fēng)險(xiǎn)。

利益相關(guān)者需要考慮安全問(wèn)題，以確保這些新設(shè)備不會(huì)成為攻擊媒介，不僅會(huì)給建筑物的運(yùn)營(yíng)帶來(lái)風(fēng)險(xiǎn)，還會(huì)給租戶的運(yùn)營(yíng)帶來(lái)風(fēng)險(xiǎn)。

在具有控制相關(guān)設(shè)備的網(wǎng)絡(luò)中，安全漏洞可能會(huì)造成嚴(yán)重后果。因此，理解物聯(lián)網(wǎng)建筑安全最佳實(shí)踐和協(xié)議對(duì)于保障設(shè)施的安全至關(guān)重要，進(jìn)而保護(hù)設(shè)施的租戶和居住者。

嵌入軟件、傳感器和先進(jìn)技術(shù)的物聯(lián)網(wǎng)系統(tǒng)實(shí)現(xiàn)了建筑系統(tǒng)之間的連接和通信，但它們也可能引入漏洞和安全威脅點(diǎn)。在設(shè)計(jì)和部署網(wǎng)絡(luò)時(shí)，應(yīng)考慮到功能和安全性。

由于網(wǎng)絡(luò)類設(shè)備的設(shè)計(jì)和實(shí)施不是控制承包商的核心能力，他們通常會(huì)安裝用于操作控制的底層網(wǎng)絡(luò)以及監(jiān)督控制器。他們的主要目標(biāo)是完成項(xiàng)目，但可能無(wú)法解決現(xiàn)代安全威脅。雖然他們將驗(yàn)證控制值是否有效，但不幸的是，他們的重點(diǎn)并不是確保網(wǎng)絡(luò)安全。

然后無(wú)意中創(chuàng)造了一場(chǎng)完美的漏洞風(fēng)暴。沒(méi)有硬件制造商或建筑承包商愿意故意引入漏洞。

與具有深入構(gòu)建物聯(lián)網(wǎng)專業(yè)知識(shí)的系統(tǒng)集成商合作對(duì)于實(shí)施設(shè)計(jì)合理的安全架構(gòu)非常寶貴，該架構(gòu)可以使系統(tǒng)保持最新、安全并免受風(fēng)險(xiǎn)影響。他們應(yīng)該了解以團(tuán)隊(duì)為基礎(chǔ)的方法與建筑物的 IT 部門(mén)合作開(kāi)發(fā)一系列安全解決方案。

為了符合最佳實(shí)踐和協(xié)議，系統(tǒng)集成商及其 IT 合作者應(yīng)采取以下三個(gè)關(guān)鍵步驟：

首先，為了確定建筑物的安全狀況，團(tuán)隊(duì)需要進(jìn)行安全評(píng)估，查看數(shù)據(jù)流量的方向，以更好地了解端到端的運(yùn)營(yíng)風(fēng)險(xiǎn)，并識(shí)別物聯(lián)網(wǎng)設(shè)備默認(rèn)設(shè)置中的弱點(diǎn)。該基線的一部分應(yīng)該是確定在運(yùn)營(yíng)技術(shù)網(wǎng)絡(luò)的設(shè)計(jì)和實(shí)施中是否遵循了最佳實(shí)踐方法。這可以成為您堅(jiān)持供應(yīng)商在配置網(wǎng)絡(luò)訪問(wèn)時(shí)使用最小權(quán)限原則的起點(diǎn)。最小權(quán)限原則將信息訪問(wèn)限制在用戶進(jìn)行工作所需的最低限度，是“零信任”的支柱之一。

零信任指的是，一個(gè)組織的應(yīng)用、軟件、網(wǎng)絡(luò)或系統(tǒng)內(nèi)外的所有用戶或設(shè)備，在被授予訪問(wèn)所請(qǐng)求資源的權(quán)限之前，都必須經(jīng)過(guò)身份驗(yàn)證和確認(rèn)；例如，需要訪問(wèn) BMS 系統(tǒng)的控制技術(shù)人員。即使他們以前可以訪問(wèn)系統(tǒng)，下次也不會(huì)自動(dòng)獲得訪問(wèn)權(quán)限：他們必須每次都向零信任訪問(wèn)平臺(tái)進(jìn)行身份驗(yàn)證。

根據(jù)評(píng)估結(jié)果，系統(tǒng)集成商可以與樓宇管理部門(mén)合作設(shè)計(jì)和安裝安全系統(tǒng)，以物理方式保護(hù)啟用 IP 的設(shè)備并提供擴(kuò)展保護(hù)，防止未經(jīng)授權(quán)的進(jìn)入。這可能包括生物識(shí)別鎖、外部監(jiān)視監(jiān)控、存儲(chǔ)訪問(wèn)控制和訪客訪問(wèn)管理。

系統(tǒng)集成公司應(yīng)要求其所有員工和承包商在訪問(wèn)建筑物系統(tǒng)之前簽署保密協(xié)議。應(yīng)使用具有雙因素或多因素身份驗(yàn)證的加密隧道保護(hù)對(duì)服務(wù)器的遠(yuǎn)程訪問(wèn)，并嚴(yán)格限制為有權(quán)訪問(wèn)特定項(xiàng)目的物聯(lián)網(wǎng)設(shè)備或應(yīng)用的用戶。

所有訪問(wèn)都必須通過(guò)IP地址記錄，以進(jìn)一步確保嚴(yán)格的安全性；系統(tǒng)訪問(wèn)必須配置為僅限制對(duì)系統(tǒng)的指定和必要部分的訪問(wèn)?？梢圆渴鹬悄芊治鲆栽谠O(shè)施系統(tǒng)內(nèi)實(shí)時(shí)實(shí)施訪問(wèn)角色和用戶權(quán)限。

監(jiān)控并自動(dòng)標(biāo)記安全風(fēng)險(xiǎn)（例如過(guò)多的登錄失?。┖涂梢苫顒?dòng)（例如惡意軟件或病毒）的系統(tǒng)對(duì)于物聯(lián)網(wǎng)構(gòu)建安全最佳實(shí)踐和協(xié)議至關(guān)重要。網(wǎng)絡(luò)行為異常檢測(cè)可以成為網(wǎng)絡(luò)安全解決方案的關(guān)鍵組成部分。

此外，通過(guò)建筑物的運(yùn)營(yíng)技術(shù)網(wǎng)絡(luò)發(fā)送的所有數(shù)據(jù)都需要加密。這意味著開(kāi)發(fā)一種有效的方法來(lái)管理加密證書(shū)并使用現(xiàn)代加密標(biāo)準(zhǔn)，例如Triple DES、AES或RSA，它們提供最高級(jí)別的安全性。

零信任的“有罪直到被證明是無(wú)辜的”方法可以在必須解決威脅之前遠(yuǎn)離危險(xiǎn)；它還具備在發(fā)現(xiàn)這些威脅時(shí)對(duì)其作出反應(yīng)的能力。傳統(tǒng)的數(shù)據(jù)安全策略已經(jīng)形成了強(qiáng)大的邊界來(lái)阻止攻擊者。不幸的是，這缺乏一致性，并且經(jīng)常落后于不斷發(fā)展的數(shù)據(jù)盜竊方法。

以前，網(wǎng)絡(luò)安全側(cè)重于保護(hù)信息技術(shù)而不是運(yùn)營(yíng)技術(shù)。通過(guò)零信任，組織的 IT 和 OT 部分同時(shí)受到保護(hù)，包括從驗(yàn)證遠(yuǎn)程員工中的員工真實(shí)性到保護(hù)整個(gè)組織的高度敏感的基礎(chǔ)設(shè)施的所有內(nèi)容。

零信任模式已被廣泛接受。以美國(guó)為例，今年早些時(shí)候，白宮要求在 2024 財(cái)年末之前為所有聯(lián)邦機(jī)構(gòu)實(shí)施零信任戰(zhàn)略。

雖然 IT 是必不可少的并且應(yīng)該受到保護(hù)，但 OT 是企業(yè)的大部分底線所在。如果對(duì) OT 的攻擊導(dǎo)致重大變化，企業(yè)及其利益相關(guān)者將面臨令人難以置信的時(shí)間、資源、信任和聲譽(yù)損失。

物聯(lián)網(wǎng)及其相關(guān)技術(shù)在商業(yè)建筑中引入了不斷演變的安全問(wèn)題。

美國(guó)最近通過(guò)的2020 年物聯(lián)網(wǎng) (IoT) 網(wǎng)絡(luò)安全改進(jìn)法案肯定了這些擔(dān)憂的重要性。該法案概述了旨在解決物聯(lián)網(wǎng)設(shè)備漏洞的新安全標(biāo)準(zhǔn)，提供了報(bào)告漏洞的指南，并提供了漏洞披露的要求。

但是，雖然這些努力是朝著更好的安全性邁出的一步，但它們還不足以提供可靠的安全性。隨著網(wǎng)絡(luò)威脅的不斷出現(xiàn)，制定強(qiáng)有力的戰(zhàn)略來(lái)管理與先進(jìn)物聯(lián)網(wǎng)技術(shù)相關(guān)的系統(tǒng)漏洞仍然至關(guān)重要。

用于物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)的安全性取決于我們?yōu)槲覀兊慕ㄖ屯顿Y組合建立最佳實(shí)踐的堅(jiān)實(shí)基礎(chǔ)的能力，包括零信任等模型。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。