在過去五年的大部分時間里，物聯(lián)網(wǎng)（IoT）一直是網(wǎng)絡(luò)和安全專業(yè)人員關(guān)注的重點。在工業(yè)物聯(lián)網(wǎng)（IIoT）領(lǐng)域尤其如此?；ミB的工業(yè)設(shè)備并不是什么新鮮事物，但是大多數(shù)IT人員并不熟悉它們，因為它們已經(jīng)由運營技術(shù)（OT）團(tuán)隊進(jìn)行管理。但是，越來越多的企業(yè)領(lǐng)導(dǎo)者希望將OT和IT結(jié)合在一起，以便從合并的數(shù)據(jù)集中獲得更好的見解。

雖然合并IT和OT并擁有IIoT擁有許多優(yōu)勢，但它對網(wǎng)絡(luò)安全團(tuán)隊產(chǎn)生了深遠(yuǎn)的影響，因為它引入了一些新的安全威脅。每個連接的端點（如果遭到破壞）都會為其他系統(tǒng)創(chuàng)建后門。

保護(hù)IIoT環(huán)境的一種方法是使用內(nèi)部防火墻。這似乎是一個顯而易見的選擇，因為內(nèi)部防火墻已成為保護(hù)幾乎所有內(nèi)容的事實上的標(biāo)準(zhǔn)。但是，在IIoT環(huán)境中，由于成本和復(fù)雜性，防火墻可能是最差的選擇。

從歷史上看，內(nèi)部防火墻被部署在流量沿“南北”方向移動的地方，并會通過單個入口/出口點，例如核心交換機(jī)。而且，連接的設(shè)備都是由IT已知和管理的。借助IIoT，連接可以變得更加動態(tài)，流量可以“東西向”模式在設(shè)備之間流動，從而繞過防火墻的位置。這意味著安全團(tuán)隊需要在每個可能的IIoT連接點部署內(nèi)部防火墻，然后跨數(shù)百個（可能是數(shù)千個）防火墻管理策略和配置，從而造成幾乎無法控制的情況。

為了更好地了解此問題的嚴(yán)重性，我與專門研究IIoT安全解決方案的Tempered Networks總裁兼首席執(zhí)行官Jeff Hussey進(jìn)行了交談，他向我介紹了該公司的一位使用內(nèi)部防火墻的客戶。在對所有內(nèi)部防火墻需要去的地方進(jìn)行了廣泛的評估之后，該公司估計防火墻的總成本約為1億美元。即使企業(yè)負(fù)擔(dān)得起，運營方面也存在另一層挑戰(zhàn)。

然后，Hussey向我介紹了一個醫(yī)療保健客戶，該客戶正在嘗試使用防火墻規(guī)則，ACL，VLAN和VPN的組合來保護(hù)其環(huán)境，但是，正如他所說，“復(fù)雜性正在殺死它們”，因此無法獲得任何東西這樣做是因為運營開銷。

我還與國際控制系統(tǒng)網(wǎng)絡(luò)安全協(xié)會（CS2AI）的創(chuàng)始人兼董事長Derek Harp進(jìn)行了交談，后者在IIoT領(lǐng)域做了很多工作。他描述了當(dāng)前的IIoT環(huán)境隨著網(wǎng)絡(luò)的不斷發(fā)展和“開放性”的發(fā)展而變得越來越“多孔”，因為第三方需要從內(nèi)部系統(tǒng)訪問數(shù)據(jù)。拋棄威脅參與者的高級技能水平，不難發(fā)現(xiàn)，網(wǎng)絡(luò)安全團(tuán)隊可以與傳統(tǒng)網(wǎng)絡(luò)安全抗衡不是一場戰(zhàn)斗。

安全專業(yè)人員應(yīng)該使用IIoT微分段，而不是使用內(nèi)部防火墻。分段類似于VLAN和ACL的使用，但是環(huán)境隔離是在設(shè)備級別完成的，并通過規(guī)則而不是在網(wǎng)絡(luò)層進(jìn)行管理。使用VLAN和ACL，需要將所有設(shè)備（包括IIoT端點）分配給VLAN。如果端點移動，則需要重新配置網(wǎng)絡(luò)以適應(yīng)該問題。如果不是這樣，則該設(shè)備將無法連接或與被破壞的壞事可能會發(fā)生的設(shè)備位于同一網(wǎng)絡(luò)上。

幾年前的Target違規(guī)事件就是一個很好的例子，零售商的HVAC系統(tǒng)遭到破壞，這為銷售點（PoS）系統(tǒng)制造了后門。傳統(tǒng)的安全性在高度靜態(tài)的環(huán)境中非常有效，但是IIoT可以通過設(shè)備定期加入和離開網(wǎng)絡(luò)來實現(xiàn)高度動態(tài)。

分段的好處是它是在軟件中完成的，并且在設(shè)備連接層上運行，因此策略遵循端點。例如，可以創(chuàng)建一個規(guī)則，其中所有醫(yī)療設(shè)備都位于特定的段中，并且與其余連接的節(jié)點隔離。如果醫(yī)療設(shè)備移動了，則該策略將隨之而來，并且無需重新配置。如果Target一直在使用IIoT微細(xì)分，并且HVAC和PoS系統(tǒng)位于不同的細(xì)分市場（從最佳實踐的角度來看，應(yīng)該是這些細(xì)分市場），那么可能發(fā)生的最壞情況是商店溫度過高。

微分段已用于數(shù)據(jù)中心，以保護(hù)在虛擬機(jī)和容器之間流動的橫向流量。網(wǎng)絡(luò)安全團(tuán)隊現(xiàn)在應(yīng)該考慮將該技術(shù)擴(kuò)展到更廣泛的網(wǎng)絡(luò)，第一個用例是保護(hù)IIoT端點。這將使企業(yè)能夠推進(jìn)數(shù)字化轉(zhuǎn)型計劃，而不會給公司帶來風(fēng)險。