越来越多的物联网及互联网OT设备向以IP为主的IT世界转型,IoT的增长速度远超过网络安全产品的迭代速度。据统计,2020年,全球将有270亿终端,其中100亿活跃于企业网络。而企业网络安全产品仍然以防火墙、入侵检测、杀毒软件“老三样”为主,物联网IoT安全产品寥寥无几。
网络安全领域扩展趋势图(来源:苹果资本)
由此导致物联网设备与网络安全防护的冲突:
• 企业IT网络是一个高度折衷的混合管理架构,传统主要管理网内的业务层电脑笔记本等,无法面面俱到,更不能高效的管理物联网设备;
• 企业中物联网终端数量庞大、种类多样,但由于功能单一,操作系统简单,易受攻击,但因无法安装杀毒软件,传统网络安全产品也束手无策;
• 物联网设备管理困难,因缺乏自动管理工具,运维人员常常手动收集信息,运维成本价较高。
宁盾终端准入(NAC)通过主动探测,通过可视化“识别、归类、准入保护”实现对物联网终端的安全管控。基于“主动防御”,
• 发现并识别接入网络的终端类型及数量:解决以往终端不可见的问题,运维人员无需再一遍遍排查都有哪些终端接入了网络。
• 基于业务自动化归类:解决运维人员手动排查和终端归类问题,通过可视化掌控终端分布,合理规划终端及网络布局。
• 保护入网终端的安全性:入网前检测终端的安全性,实时检测网络中终端的安全性,防止IoT终端被伪造、被拔掉的现象。可视化网络拓扑,对问题终端进行自动隔离或告警至管理员,减轻运维人员盲目排查的痛苦。
一、发现并识别接入网络的一切终端
宁盾终端准入引擎(ND ACE)主动探测接入网络的一切终端,包括从云、数据中心到办公区、生产线的各种电脑、BYOD、瘦客户端、摄像头、打印机、IP电话等;无代理检测支持Nmap + User Agent,丰富的设备类型库通过不断积累和更新,提升了终点识别效率及终端识别准确性。
二、终端可视化及自动化归类
1、终端信息可视化:
可视化IoT终端MAC地址、IP地址、终端类型、操作系统、设备厂商、功能、上下游网络拓扑、终端位置、所属部门、所属业务、接入批次、数据流量、在线时长等;
2、自动化归类:
根据MAC地址列表、IP地址、IP地址段、终端类型、首次接入时间等控制策略对IoT终端自定义业务模型。ND ACE 主动探测终端的合规性条件,并完成自动归类。
3、自定义业务模型归类:
根据企业业务自定义业务模型:
比如根据首次登录时间设置接入批次模型,终端在接入网络时自动归类到该业务模型中;
比如根据终端类型设置终端业务功能模型,符合该类型的终端自动归类到该业务模型。
4、可视化网络拓扑:
基于业务模型及网络基础设施,直观展示终端上下游结构及终端位置。如一个交换机连接了多少AC和AP,每个AC上连接了多少AP,每个AP上连接了多少IoT等等。
根据不同区域的终端分布情况,帮助运维人员合理布局终端及网络,拆掉不常用的网络设备,更换老旧的网络设备及终端,新增或重新部署生产线网络环境等。
三、终端合规性安全及准入保护
1、IP/MAC地址防伪造:
在业务模型内,针对IP地址段、MAC地址列表过滤IP/MAC地址不合规的终端,其次检测终端的操作类型,防止电脑、笔记本、BYOD等伪造IoT终端盗取企业信息。
2、弱密码检测:
大部分的IoT终端存在弱账号密码现象,检测入网终端的账号密码,降低因弱账号密码导致的攻击事件。
3、防私接:
通过检测一个IP地址下是否存在多个操作系统,发现并定位私接终端位置,防止私接路由对企业网络的影响。
4、终端安全准入及自动化隔离:
通常情况下,当ND ACE检测到终端非合规时,会将其自动隔离至安全区或进行断网处理。特殊情况下,对于网络变动较为敏感的终端,宁盾ND ACE检测到异常时,告警至管理员进行操作。
5、快速定位终端位置:
根据端上下游拓扑关系,及时定位问题终端位于哪个交换机的哪个AC上的哪个端口,并通知管理员对其进行操作。
四、可视化终端资产管理
可视化终端,并根据不同业务模型统计终端数量,包括总的终端资产、不同批次的终端资产、损坏不工作的终端、不同业务模型的终端等,为分析终端资产利用率、终端布局提供依据。
基于“主动防御”,与传统内外网边界防护相比,宁盾终端准入引擎(ND ACE)以端为保护对象,主动发现并识别接入网络的一切终端,可视化终端安全状态并及时定位终端位置,提升物联网终端排障速率,降低物联网终端运维成本,为海量IoT终端提供安全保障。
来源:freebuf.com 2019-01-29 17:07:16 by: 宁盾nington
请登录后发表评论
注册