針對IoT設備實施零信任的PaloAltoNetworks|針對物聯網設備實施零信任的正確方法|白皮書1簡介什么是零信任安全4針對物聯網設備實施零信任的正確方法5針對物聯網設備實施零信任的挑戰5針對物聯網設備實施零信任6零信任原則一：設備/工作負載6發現6風險評估7零信任原則二：評估8最低訪問權限策略8網絡分段策略8策略實施9零信任原則三：事務10持續監控10內置防御措施在整個基礎架構中實施零信任10paloag'2網絡和安全團隊歷來依靠網絡邊界防御措施來保護整個企業。內部網絡被認為是可信且安全的。雖然外部的一切內容都被認為存在風險，但是內部網絡中的一切內容都被認為是“干凈的”，應用流量將不受限制地流動。然而，企?數字化轉型：IoT設備采用率上升協助各企業增加價值、提高工作效率并降低成本。傳統的網絡邊界不再是一個值得信任的圈層，企業面臨的網絡威脅和網絡攻擊增加就證明了這一點。現代企業網絡現在必須考慮訪問網絡的所有類型的設備，從傳統的IT設備到現在支持互聯網并連接到網絡的非常規IT設備，包括安全攝像頭、HVAC、智能照明、智能百葉窗、輸液泵、打印機、智能咖啡機、智能電視、虛擬助理、ATM和銷售點終端等等，這些設備就構成了所謂的物聯網(IoT)。這些設備將風險水平降至最低，并顯著擴大了威脅面，零售20億180%政府18億162%醫療保健13億244%$￥ε銀行業6億47%關鍵基礎設施60億177%基于120萬個端點的PaloAltoNetworksUnit422020物聯網威脅報告零售20億180%政府18億162%醫療保健13億244%$￥ε銀行業6億47%關鍵基礎設施60億177%智能建筑47億220%每天有1000萬臺新的物聯網設備加入網絡*30%以上的企業設備是物聯網設備**2030年設備的預期數量，以及從2020年到2030年的增長比例。圖1：根據Gartner的Machina數據庫，預計各行業的物聯網都將有所增長由于IoT設備通常具有漏洞、難以修補、缺乏安全控制，但對于網絡的訪問不受限制，因此IoT激增會為企業帶PaloAltoNetworksUnit42的物聯網威脅報告發現：?網絡掃描漏洞利用(14%)?密碼用戶實踐(13%)?蠕蟲(12%)?勒索軟件(8%)?57％的物聯網設備易受中等或高嚴重程度?83%的醫療成像設備在不受支持的操作系統中運行paloag'3圖2：不同行業的物聯網攻擊隨著居家辦公、BYOD、企業資源向云遷移和物聯網趨勢等傳統網絡邊界的消失，以及網絡威脅增加，采用零信任方法作為企業安全核心策略已成為必然。PaloAltoNetworks可將零信任定義為一種網絡安全戰略性方法，通過消除隱含式信任和持續驗證數字交互的每個階段來確保企業安全。此外，作為安全骨干的強大框架為企業提供了一識別資產、重要數據和交易流程采用零信任架構和“最低訪問權限”控制持續監控和審核圖3：零信任總體戰略目標paloag'4PaloAltoNetworks概述了零信任框架及其遵循的指導原則，涵蓋了企業內所有用戶、應用和基礎架構的安全設備/工作負載證開發人員、DevOps保護非托管物聯網設備是實現基礎架構零信任的重要支柱，指導原則有助于為非托管物聯網設備定義實用零信任針對IoT設備實施零信任的正確方法上一節中概述的基礎架構零信任框架指導原則轉化為針對實現物聯網設備零信任的更細化的指導原則。接下來是零表2：針對基礎架構的零信任擴展到物聯網設備設備/工作負載雖然市面上的許多解決方案都聲稱提供物聯網設備零信任，但未能真正滿足物聯網安全的復雜需求。以下是實現物?基于代理的傳統端點安全解決方案無法發現和管理。由于大多數物聯網設備的處理能力和CPU較低，因此?大多數物聯網發現技術僅可發現及分類含預填充簽名的物聯網設備。不幸的是，基于設備指紋或簽名的方法?物聯網設備較少被分配唯一的硬件標識符（與IT設備不同），并且這些設備是批量制造的。因此，大多數paloag'52.難以驗證身份、定義策略和細分?大多數物聯網設備不支持傳統的企業身份驗證和授權流程，如802.1X或單點登錄。或者，由于設備分類不佳，MAC身份驗證存儲庫(MAR)列表也不起作用。由于物聯網設備是業務推動因素，網絡團隊必須手動啟?分段策略和規則創建流程需要數小時的手動工作。此外，針對未托管設備的有限可視性使其更難以準確分3.難以持續評估?許多物聯網和OT設備是關鍵基礎架構的一部分，可主動探測或掃描這些設備以進行風險和漏洞評估，這也4.物聯網安全解決方案缺少安全性?現有的物聯網安全解決方案也不具備推薦零信任風險降PaloAltoNetworksIoTSecurity基于設備/工作負載、訪問和事務三大支柱及其原則將物聯網設備添加至零信任安全模型中，從而最大限度地降低物聯網安全風險，讓您的網絡能夠抵御網絡攻擊。PaloAltoNetworks使物聯網設備極易實現零信任，從而提升了企業的整體安全態勢。以下是企業如何通過PaloAltoNetworks的IoTSecurity零信任原則一：設備/工作負載識別包括物聯網在內的所有設備物聯網設備。PaloAltoNetworks的IoTSecurity是唯一一款無代理的物聯網安全解決方案，使用機器學習(ML)和深度數據包檢測以及眾包遙測技術來發現和分類網絡中的每個連接的物聯網設備，包括從未見過的設備。與基于簽名的傳統被動式設備發現方法相比，機器學習是一種更優質的方法。隨著5G等新型無線協議或混合居家辦公模我們的IoTSecurity可分析200個參數，以準確地將每個設備的IP地址與其類型、供應商和型號準確匹配，從而展現50多個完整描述設備的基本設備屬性。準確而細致的設備分類是區分非托管物聯網設備和托管IT資產的必要以下是IoTSecurity提供的幾大類情境信息。paloag'6?您從什么位置連接此設備?VLAN?子網??您從什么位置連接此設備?VLAN?子網?無線/控制器?開關/端口?這是什么設備?AppleiPhone12?HikvisionIP攝像頭?Zebra工業打印機?此設備上運行的內容?應用名稱/版本?操作系統名稱/版本?端點安全軟件?設備所有人?企業?BYOD?影子?設備如何運行?確立基準?對比設備行為和其他眾包設備?通信模式?云/網絡通信圖4：IoTSecurity可以在48小時內發現90%的設備，之后會發現更多2.風險評估應用零信任框架的下一步是以高置信度評估風險并確定物聯網設備的風險級別。“風險”已經成為一個模糊的術語，并與“威脅”和“漏洞”互換使用。要真正理解風險，您需要知道其真正含義。風險是威脅利用漏洞來危害或破壞資產（本例中為物聯網）的函數。因此，物聯網設備風險基于三個載體來衡量：威脅、漏洞和資產環境。PaloAltoNetworks的IoTSecurity可檢測和評估這三個載體中的風險。這是通過利用眾包設備數據、基于機器學習的設備行為異常評估、專屬Unit42威脅研究、CVE、第三方漏洞管理信息等完成的。威脅漏洞情境CVE?CVE?默認密碼?生命周期結束的操作系統/應用/設備?過時的協議?云/網絡連接?CVE跟蹤靜態|動態?錯誤配置?異常軟件?補丁級別?應用名稱/版本?內部/外部連接類型和頻率?意外的數據傳輸量?設備行為異常?制造規格漏洞利用|惡意軟件?物聯網之間的異常連接?設備中的惡意文件?連接到有風險的網站?設備之間的異常流量?連接大量設備的個人設備圖5：全面的風險框架和評估IoTSecurity可衡量風險情況并為其觀察到的風險數量分配四個級別的分數：2.設備配置文件4.企業paloag'7在計算設備配置文件、站點和企業的風險分數時，IoTSecurity不僅會考慮特定組中單個設備的分數，還會考慮對原生和第三方基礎架構的最低權限訪問分段3.最低訪問權限策略作為一項策略，最低訪問權限是零信任的關鍵原則。最低訪問權限為IoTsecurity策略，旨在為物聯網設備提供最低級別的網絡訪問權限。由于大多數物聯網設備都是“專門構建”的，并具有預測行為，因此允許應用最低訪問?保持物聯網設備運行的虛擬補丁：最低訪問權限策略甚至可以阻止或限制易受攻擊的設備訪問特定資源，以此允許這些設備運行。在物聯網/OT設備是業務驅動因素并且需要運行的情況下，這一策略非常有用，例如醫療服務?網絡訪問控制策略：最低訪問權限策略還可用于限制物聯網設備針對特定資源的訪問，如今，人們必須完成多個勞動密集型步驟才能為每個設備配置文件定義和制定風險降低策略。手動步驟包括清點物聯網設備、按設備類型或功能定義設備配置文件、建立行為基準、定義不中斷業務運營的策略，以及與其他實施技PaloAltoNetworks的IoTSecurity是當今市場上唯一一個從風險評估到自動提供降低風險的零信任最低權限訪問策略的解決方案。通過將數以百萬計的物聯網設備中的元數據與網絡中的元數據進行比較，IoTSecurity可以使用其設備配置文件來確定正常的行為模式。對于每個物聯網設備和設備類別，它提供了一個推薦策略來限制或允許受信任的行為，并幫助實施零信任策略，而無需費力的手動流程。在收集手動創建策略所需的應用使用情況、連接和端口/協議數據時，建議的策略為每個設備節省了無數小時。一旦經過審查，策略可以通過您的基于機器學習了解如何通過IoTSecurity的自動策略創建流程節省20倍的時間。遵循“從不信任，始終驗證”的零信任指導原則，對物聯網設備進行細分，這可以視為邁向零信任的一步。比如，將任務關鍵型心率監測器與成像系統安裝在同一網絡中對于醫療機構而言并不合適。基于設備配置文件的分段方法考慮了多種因素（包括設備類型、功能、任務關鍵性和威脅級別），提供的隔離方法能夠顯著降低交叉感染造成的PaloAltoNetworks新一代防火墻支持的IoTSecurity采用基于設備配置文件的精細細分方法，將這些因素考慮在內，以實現隔離。這大大降低了IT和物聯網設備之間交叉感染的潛在影響。使用PaloAltoNetworks新一代防火墻(NGFW)作為分段網關，利用其固有的網絡功能無縫部署到現有環境中，并允許針對網絡中未托管的物聯假設客戶更愿意選擇網絡訪問控制(NAC)解決方案來細分網絡。在這種情況下，IoTSecurity提供了與CiscoISE、Forescout?和ArubaClearPass?的內置集成，以實現細分；然而，由于NAC僅在可以進行身份驗證的設備中具有可視性，因此對于不能進行身份驗證的物聯網設備存在盲點，因為因此，IoTSecurity為NAC解決方案提供未托管設備信息發現功能，并提供額外的設備情境，以便對其進行智能分段。以下是我們的一個現場客戶示例，展示了IoTSecurity如何插入NAC解決方案的可視性和情境盲點。paloag'8表3：了解IoTSecurity如何插入NAC盲點MACNAC識別00:*0:7*:73:37:5*AmbiCom設備Carefusion輸液泵基站c8:2*:*4:56:27:06Apple設備08:60:6*:*8:06:83Asus設備00:08:74:*2:50:*5Dell設備DICOM指示器00:2*:5*:6*:06:72HP設備DICOM錄像機00:09:6*:*6:60:7*IBM設備00:*0:*4:2*:*0:945,958個12,012個表4：已發現的NAC和IoTSecurity設備NACIoTSecurity已發現的設備：5,698個已發現的設備：12,012個IoTSecurity情境：AmbiCom設備AmbiComCarefusion輸液泵基站物聯網設備的情境感知分區可確保這些設備具有最低訪問權限，并且僅連接到所需應用。此外，此功能可確保設備4.策略實施IoTSecurity可以通過其新一代防火墻或通過第三方實施點來實施推薦的零信任安全策略。下文概述了實施方法：?通過PaloAltoNetworks新一代防火墻一鍵執行推薦操作。獲得專利的Device-ID?策略結構可跟蹤整個網絡中的單一設備，并在基于機器學習的新一代防火墻中為可能發生的任何警報或事件提供詳細的情境信息，無論設備的IP地址或位置是否發生變化。此外，策略規則和第7層控制會隨著位置和已識別風險的變化而自動更新。請參見表5，了解Device-ID如何增強可擴展性，以及如何快速針對威脅進行補救和響應。?通過NAC與CiscoISE、Forescout或ArubaClearPass的集成來執行推薦策略。表5：Device-ID如何幫助管理員快速準確地實施策略沒有Device-ID有Device-ID將IP地址作為設備標識的代理無法提供準確的設備依靠用戶、網絡或設備管理員來正確解決設備問題很容無論設備連接到何處或如何配置，都可以執行一致的對外部系統（如NAC或資產管理）的依賴要求構建和使用IoTSecurity直接輸入Device-ID，無需復雜威脅或事件調查需要SOC接觸多個系統，以跟蹤哪個SIEM收到帶有設備信息的威脅警報paloag'9掃描基礎架構中的所有內容是否存在惡意活動和數據竊取5.持續監控持續監控是完成物聯網設備零信任安全循環的最后一步，也是至關重要的一步。即使設備已配置并保存在正確的分我們基于機器學習的IoTSecurity可自動確定設備身份并驗證是否為“正常行為”。一旦確定了“正常行為”，該解決方案就會啟動異常檢測，以發現并優先處理任何與基準質檢的潛在偏差。我們的機器學習建立了第7層物聯?IoTSecurity