现在每个人都在谈论IoT,理由充分:已有数十亿设备接入全球互联网,有些研究人员预测到2020年联网设备数量将达500亿。仅此一项,就让CISO的工作更难开展了,但安全高管还要面临其它相关挑战,包括:
员工移动办公,倾向于利用各种设备访问公司应用;
应用、工作负载和容器存在于私有或公共云,甚至在二者之间转换;
更多设备、云应用和移动用户的增加,大幅扩大了攻击界面;
CISO被迫以人手不足兼技能不够的网络安全团队,保护这不断增长的IT资产。
传统安全过程、控制措施和技术手段,无法扩展满足当今IoT移动世界的安全挑战。
这正是身份(例如:设备身份、用户身份、资产身份等等)大展拳脚的地方。源和目的之间,必须通过2/3层协议和用户名及口令连接。更进一步,互联网上所有东西都必须有个可信身份,这些可信身份将用于引导并监视安全连接。
这一趋势被称为“身份互联网(IoI)”,符合我们目前跟踪的多个安全趋势。比如说,可信身份,就处于微分隔和软件定义边界(SDP)之类联网趋势的中心。
只要知道设备或人的身份,以及该设备或人想连接的应用或服务的身份,就可以验证各实体,检查策略引擎以确保这是授权连接;分隔并加密源和目的之间的流量,并维护对连接甚至俩节点间所有数据包的审计日志。
基本上,整个全球互联网被固定功能网络和个人虚拟网络分隔成大大小小数十亿个网络——全都由管道两端的身份驱动。
因为需要用身份、软件定义网络技术和大数据分析,来减小网络攻击界面并监视这数十亿节点情况,IoI的理论是完全正确的。商业方面,IoI可帮助公司企业向关键网络流量和高价值客户提供高性能服务。
虽然IoI听起来很符合逻辑,其未来几年的成功取决于很多因素,包括:
1. 对IoT设备的强身份验证
每个IoT设备都必须拥有强壮而唯一的身份,可基于生物特征识别技术、指纹技术或经验证的X.509数字证书。
2. 标准和固有技术的广泛采用
或许可以对FIDO、OAuth、OpenID、SAML等标准进行某种形式的合理化,同时增加手机指纹读取器等常见生物特征识别的使用。
3. 身份的云监管
Facebook、谷歌和微软已将身份扩展至云端,也正努力进行身份控制,但IoI必须进化至一种协作生态系统。国家标准与技术局(NIST)的可信身份组和NSTIC,曾提出过类似模型。业界大佬必须认同此类身份生态系统,并共同努力实现。
4. 软件定义网络技术的更多运用
更多使用微分隔和VPN向软件定义边界的迁移,可基于用户、身份、位置、风险和严格的业务驱动策略,提供任意端对端网络访问。
5. 成熟用户和实体行为分析(UEBA)工具
时时刻刻发生的事件太多,安全分析师无法跟踪所有连接或发现异常行为。基于机器学习和人工智能的成熟行为安全分析工具,必须持续进化以不足这方面差距。
大企业可用多种方式为IoI做打算:
从战术性身份管理转向全面的IAM策略;
给CISO更多的IAM监管权限,同时让业务经理更多参与到策略定义和风险管理中来;
促进安全、IT和运营技术团队间的协作。