实时探查与分析风险 确保IoT环境不受网安威胁侵扰

2021/01/07 - DIGITIMES企划

事实上，IoT/OT装置并非只出现在工厂，或是油水电等关键基础设施场域，各个行业几乎都有，比方说IP Camera、门禁设备、Router、打卡钟...等等多不胜数的装置皆是。可以肯定，你我的网络环境中都有许多IoT/OT设备，连带蕴藏着不低的网安风险。

Check Point资深技术顾问温德钧认为，比起一般电脑设备，IoT设备更容易遭受攻击与入侵，主要是因为，它们拥有老旧的操作系统、缺乏安全性的连线、设计时没有安全性考量、过于简单的认证方式且多使用缺省值、更新难度高且甚至无法更新...等等。

总之只要有IP，黑客都进得去，也都可以扫出一堆可供利用的弱点。譬如据传有俄罗斯国家赞助的黑客组织，会利用打印机、VoIP电话等企业IoT装置，伺机对企业网络发动攻击，或是黑客可透过监控镜头对你进行偷窥。重点是，如果你看不到也识别不了这些潜藏的弱点，就没有办法做防护。

有监于IoT网安风险太过棘手，Check Point于是推出适用各种环境的IoT安全解决方案，其中具备实时性IoT风险分析、零信任IoT分段管治，以及多层次IoT威胁防护等关键功能，得以防止未经授权的访问并阻止恶意连结，亦可防止受感染的设备横向扩散。

温德钧进一步说明，Check Point的IoT安全解决方案可分为「Network-layer」、「On-Device」等属性。在Network-layer部分，首先会有一个IoT探查引擎(IoT Discovery Engine)，负责识别、收集与分类IoT资产数据，再与安全管理主机进行信息同步，并由安全闸道器实时拦阻可疑流量，或提供虚拟修补机制、减缓老旧软韧体架构的风险，利用这套防护机制即可望挡下黑客利用系统漏洞攻击。

至于On-Device部分，则是以轻量级代理程序NANO Agent为核心，可嵌入各式联网装置的芯片或韧体，提供设备执行时期的自我防护功能。

归纳上述IoT网络安全防护方案的个中亮点。首先在于它能够快速发现与识别IoT装置信息，帮助企业或机构全面理解IoT及OT设备的属性。其次具备了启发性威胁分析引擎，藉以创造更高的安全可视性，简言之这套引擎可根据CVE、老旧操作系统、口令安全强度不足、连接模式、功能性与重要性等风险参数，判断IoT与OT装置究竟属于高、中或低风险值。

更重要的，它内含一套IoT Policy Manager，发挥IoT感知式自动安全存取控管政策之功能，可随时自我适应IoT环境变化，自动生成安全规则，以降低管理人员负担。再者即是利用网络入侵防御系统(IPS)内建的特徵码来执行虚拟补丁，帮助一些难以修补漏洞的老旧IoT设备，仍然可以抵御零时差漏洞滥用攻击。

此外无论IT或OT环境，温德钧都建议企业或机构可善用防火墙来隔离威胁。以Check Point 1570R为例，便是针对ICS/SCADA工控网络设计的防火墙，它不仅可用于防护整座工厂的ICS，甚至支持PLC级别的微分段保护，消弭难缠的IoT/OT网安威胁。


图说：Check Point资深技术顾问温德钧。