1、Palo Alto Networks|針對物聯網設備實施零信任的正確方法|白皮書1針對 IoT 設備實施零信任的正確方法2針對物聯網設備實施零信任的正確方法|白皮書目錄簡介 3什么是零信任安全 4針對物聯網設備實施零信任的正確方法 5針對物聯網設備實施零信任的挑戰 5針對物聯網設備實施零信任 6 零信任原則一：設備/工作負載 6 發現 6 風險評估 7 零信任原則二：評估 8 最低訪問權限策略 8 網絡分段策略 8 策略實施 9零信任原則三：事務 10 持續監控 10 內置防御措施 10在整個基礎架構中實施零信任 103針對物聯網設備實施零信任的正確方法|白皮書簡介網絡和安全團隊歷來依靠網絡邊

2、界防御措施來保護整個企業。內部網絡被認為是可信且安全的。雖然外部的一切內容都被認為存在風險，但是內部網絡中的一切內容都被認為是“干凈的”，應用流量將不受限制地流動。然而，企業辦公模式的最新發展變化正在對傳統的安全管理網絡邊界產生深遠的影響。以下趨勢促使企業重新評估其安全方法：數字化轉型：IoT 設備采用率上升協助各企業增加價值、提高工作效率并降低成本。云遷移：越來越多的托管和非托管設備日益將數據發送到云或多云環境中?；旌限k公：員工可在園區網絡中自由進出，這導致公司網絡面臨外部威脅。傳統的網絡邊界不再是一個值得信任的圈層，企業面臨的網絡威脅和網絡攻擊增加就證明了這一點?，F代企業網絡現在必須考慮訪

3、問網絡的所有類型的設備，從傳統的 IT 設備到現在支持互聯網并連接到網絡的非常規 IT 設備，包括安全攝像頭、HVAC、智能照明、智能百葉窗、輸液泵、打印機、智能咖啡機、智能電視、虛擬助理、ATM 和銷售點終端等等，這些設備就構成了所謂的物聯網(IoT)。這些設備將風險水平降至最低，并顯著擴大了威脅面，使網絡極易受到橫向攻擊?；?120 萬個端點的 Palo Alto Networks Unit 42 2020 物聯網威脅報告發現，2020 年的物聯網設備占所有企業設備的 30%。除此之外，Gartner 的 Machina 物聯網數據庫預測，從 2020 年到 2030 年，物聯網設備的

4、CAGR 增長率約為 13%。圖 1：根據 Gartner 的 Machina 數據庫，預計各行業的物聯網都將有所增長由于 IoT 設備通常具有漏洞、難以修補、缺乏安全控制，但對于網絡的訪問不受限制，因此 IoT 激增會為企業帶來嚴重的安全問題。以下是最近針對企業的一些物聯網攻擊的概況。Palo Alto Networks Unit 42 的物聯網威脅報告發現：物聯網設備面臨的主要威脅包括：網絡掃描漏洞利用(14%)密碼用戶實踐(13%)蠕蟲(12%)勒索軟件(8%)57 的物聯網設備易受中等或高嚴重程度的攻擊 83%的醫療成像設備在不受支持的操作系統中運行物聯網設備和攻擊數量的增加導致企業必

5、須重新評估其風險管理策略，并轉用零信任方法來保護物聯網設備。$智能建筑零售47 億 220%20 億 180%政府18 億 162%醫療保健13 億 244%銀行業6 億47%關鍵基礎設施60 億177%每天有 1000 萬臺新的物聯網設備加入網絡*30%以上的企業設備是物聯網設備*2030 年設備的預期數量，以及從 2020 年到 2030 年的增長比例。4針對物聯網設備實施零信任的正確方法|白皮書什么是零信任安全隨著居家辦公、BYOD、企業資源向云遷移和物聯網趨勢等傳統網絡邊界的消失，以及網絡威脅增加，采用零信任方法作為企業安全核心策略已成為必然。Palo Alto Networks 可將

6、零信任定義為一種網絡安全戰略性方法，通過消除隱含式信任和持續驗證數字交互的每個階段來確保企業安全。此外，作為安全骨干的強大框架為企業提供了一個實現網絡現代化及重建網絡、采用云技術以及加強安全運營的機會。圖 3：零信任總體戰略目標采用零信任架構和“最低訪問權限”控制持續監控和審核識別資產、重要數據和交易流程圖 2：不同行業的物聯網攻擊5針對物聯網設備實施零信任的正確方法|白皮書Palo Alto Networks 概述了零信任框架及其遵循的指導原則，涵蓋了企業內所有用戶、應用和基礎架構的安全性，以及身份、設備/工作負載、訪問和事務這四個關鍵支柱，如表 1 所示。保護非托管物聯網設備是實現基礎架構

7、零信任的重要支柱，指導原則有助于為非托管物聯網設備定義實用零信任 安全。針對 IoT 設備實施零信任的正確方法上一節中概述的基礎架構零信任框架指導原則轉化為針對實現物聯網設備零信任的更細化的指導原則。接下來是零信任框架，企業應該考慮使用該框架來保護物聯網設備。雖然市面上的許多解決方案都聲稱提供物聯網設備零信任，但未能真正滿足物聯網安全的復雜需求。以下是實現物聯網設備零信任面臨的一些挑戰。針對物聯網設備實施零信任的挑戰1.難以發現和識別 基于代理的傳統端點安全解決方案無法發現和管理。由于大多數物聯網設備的處理能力和 CPU 較低，因此無法安裝端點代理。大多數物聯網發現技術僅可發現及分類含預填充簽

8、名的物聯網設備。不幸的是，基于設備指紋或簽名的方法無法擴展以發現所有物聯網設備，因為操作協議、標準和進入網絡的新型設備種類繁多。物聯網設備較少被分配唯一的硬件標識符（與 IT 設備不同），并且這些設備是批量制造的。因此，大多數設備在 IT 團隊的設備清單中仍未被發現或識別，也未被記錄，從而產生了影子物聯網。表 1：關鍵的零信任功能和持續驗證身份設備/工作負載訪問事務面向用戶的零信任使用強勢驗證方法來驗證用戶驗證用戶設備的完整性對數據和應用實施最低權限用戶訪問掃描所有內容是否存在惡意活動和數據竊取面向應用的零信任使用強勢驗證方法來驗證開發人員、DevOps 和管理員驗證工作負載完整性對訪問其他工

9、作負載的工作負載強制執行最低權限訪問掃描所有內容是否存在惡意活動和數據竊取面向基礎架構的零信任驗證所有用戶是否有權訪問基礎架構識別包括物聯網在內的所有設備對原生和第三方基礎架構的最低權限訪問分段掃描基礎架構中的所有內容是否存在惡意活動和數據竊取表 2：針對基礎架構的零信任擴展到物聯網設備設備/工作負載訪問事務發現所有物聯網設備推薦零信任策略持續監控物聯網設備評估物聯網安全風險執行零信任策略預防已知和未知威脅62.難以驗證身份、定義策略和細分 大多數物聯網設備不支持傳統的企業身份驗證和授權流程，如 802.1X 或單點登錄?；蛘?，由于設備分類不佳，MAC 身份驗證存儲庫(MAR)列表也不起作用。

10、由于物聯網設備是業務推動因素，網絡團隊必須手動啟用這些設備，而不能完全冒著風險行動。分段策略和規則創建流程需要數小時的手動工作。此外，針對未托管設備的有限可視性使其更難以準確分段，但只有準確分段，才能有效阻止威脅橫向移動。3.難以持續評估 物聯網設備仍然不在漏洞掃描程序的范圍內，因為這些設備缺乏對物聯網設備的可視性。許多物聯網和 OT 設備是關鍵基礎架構的一部分，可主動探測或掃描這些設備以進行風險和漏洞評估，這也可能導致網絡中斷。4.物聯網安全解決方案缺少安全性 現有的物聯網安全解決方案也不具備推薦零信任風險降低策略的情報或能力。安全團隊需要收集設備信息和情境，并手動制定零信任策略。這可能是一

11、個漫長且容易出錯的過程?，F有的物聯網安全解決方案只能警報，且缺乏內置威脅防御措施和安全策略的實施。針對物聯網設備實現零信任 Palo Alto Networks IoT Security 基于設備/工作負載、訪問和事務三大支柱及其原則將物聯網設備添加至零信任安全模型中，從而最大限度地降低物聯網安全風險，讓您的網絡能夠抵御網絡攻擊。Palo Alto Networks 使物聯網設備極易實現零信任，從而提升了企業的整體安全態勢。以下是企業如何通過 Palo Alto Networks 的 IoT Security 實現零信任的實用方法。零信任原則一：設備/工作負載識別包括物聯網在內的所有設備1.探

12、索您無法保護看不到的事物。為了擴展零信任原則，必須在用戶和標準 IT 設備的基礎之上在網絡中添加所有未托管的物聯網設備。Palo Alto Networks 的 IoT Security 是唯一一款無代理的物聯網安全解決方案，使用機器學習(ML)和深度數據包檢測以及眾包遙測技術來發現和分類網絡中的每個連接的物聯網設備，包括從未見過的設備。與基于簽名的傳統被動式設備發現方法相比，機器學習是一種更優質的方法。隨著 5G 等新型無線協議或混合居家辦公模式將新型物聯網設備添加到網絡中，基于機器學習的設備發現方法可確?？焖贉蚀_地發現新設備并進行分類。我們的 IoT Security 可分析 200 個參

13、數，以準確地將每個設備的 IP 地址與其類型、供應商和型號準確匹配，從而展現 50 多個完整描述設備的基本設備屬性。準確而細致的設備分類是區分非托管物聯網設備和托管 IT 資產的必要前提。這種方式可以強制執行基于零信任的安全策略，只允許物聯網環境中的獲批流量。以下是 IoT Security 提供的幾大類情境信息。針對物聯網設備實施零信任的正確方法|白皮書7針對物聯網設備實施零信任的正確方法|白皮書2.風險評估應用零信任框架的下一步是以高置信度評估風險并確定物聯網設備的風險級別?！帮L險”已經成為一個模糊的術語，并與“威脅”和“漏洞”互換使用。要真正理解風險，您需要知道其真正含義。風險是威脅利用

14、漏洞來危害或破壞資產（本例中為物聯網）的函數。因此，物聯網設備風險基于三個載體來衡量：威脅、漏洞和資產環境。Palo Alto Networks 的 IoT Security 可檢測和評估這三個載體中的風險。這是通過利用眾包設備數據、基于機器學習的設備行為異常評估、專屬 Unit 42 威脅研究、CVE、第三方漏洞管理信息等完成的。圖 5：全面的風險框架和評估IoT Security 可衡量風險情況并為其觀察到的風險數量分配四個級別的分數：1.專屬物聯網設備2.設備配置文件3.站點4.企業 漏洞利用|惡意軟件靜態|動態CVE 物聯網之間的異常連接 設備中的惡意文件 連接到有風險的網站 設備之間

15、的異常流量 連接大量設備的個人設備 默認密碼 生命周期結束的操作系統/應用/設備 過時的協議 云/網絡連接 CVE 跟蹤 錯誤配置 異常軟件 補丁級別 應用名稱/版本 內部/外部連接類型和頻率 意外的數據傳輸量 設備行為異常 制造規格威脅漏洞情境設備風險這是什么設備 Apple iPhone 12Hikvision IP 攝像頭 Zebra 工業打印機此設備上運行的內容 應用名稱/版本操作系統名稱/版本 端點安全軟件 設備所有人 企業BYOD 影子 自定義標記 您從什么位置連接此設備 VLAN子網 無線/控制器 開關/端口?設備如何運行 確立基準對比設備行為和 其他眾包設備 通信模式 云/網絡

16、通信?圖 4：IoT Security 可以在 48 小時內發現 90%的設備，之后會發現更多8針對物聯網設備實施零信任的正確方法|白皮書在計算設備配置文件、站點和企業的風險分數時，IoT Security 不僅會考慮特定組中單個設備的分數，還會考慮風險設備對于組中所有設備的百分比。不同的分數提供了簡單的方法來檢查網絡中不同點和區域的風險。了解如何將發現網絡中物聯網設備漏洞的時間從三周縮短到幾個小時。零信任原則二：訪問對原生和第三方基礎架構的最低權限訪問分段3.最低訪問權限策略 作為一項策略，最低訪問權限是零信任的關鍵原則。最低訪問權限為 IoT security 策略，旨在為物聯網設備提供最

17、低級別的網絡訪問權限。由于大多數物聯網設備都是“專門構建”的，并具有預測行為，因此允許應用最低訪問權限策略，可用于以下場景：保持物聯網設備運行的虛擬補?。鹤畹驮L問權限策略甚至可以阻止或限制易受攻擊的設備訪問特定資源，以此允許這些設備運行。在物聯網/OT 設備是業務驅動因素并且需要運行的情況下，這一策略非常有用，例如醫療服務機構或制造企業中的關鍵物聯網設備。這是一種臨時策略，用于在漏洞得到修補時限制漏洞被惡意利用的風險。網絡訪問控制策略：最低訪問權限策略還可用于限制物聯網設備針對特定資源的訪問，以執行其所需的任務。例如，安全攝像頭只需與視頻存儲器和供應商網站通信即可進行固件更新。如今，人們必須完

18、成多個勞動密集型步驟才能為每個設備配置文件定義和制定風險降低策略。手動步驟包括清點物聯網設備、按設備類型或功能定義設備配置文件、建立行為基準、定義不中斷業務運營的策略，以及與其他實施技術集成，以便實施這些策略。Palo Alto Networks 的 IoT Security 是當今市場上唯一一個從風險評估到自動提供降低風險的零信任最低權限訪問策略的解決方案。通過將數以百萬計的物聯網設備中的元數據與網絡中的元數據進行比較，IoT Security 可以使用其設備配置文件來確定正常的行為模式。對于每個物聯網設備和設備類別，它提供了一個推薦策略來限制或允許受信任的行為，并幫助實施零信任策略，而無需

19、費力的手動流程。在收集手動創建策略所需的應用使用情況、連接和端口/協議數據時，建議的策略為每個設備節省了無數小時。一旦經過審查，策略可以通過您的基于機器學習的新一代防火墻快速導入，任何更改將自動更新，讓您的管理開銷保持最低。了解如何通過 IoT Security 的自動策略創建流程節省 20 倍的時間。網絡分段策略遵循“從不信任，始終驗證”的零信任指導原則，對物聯網設備進行細分，這可以視為邁向零信任的一步。比如，將任務關鍵型心率監測器與成像系統安裝在同一網絡中對于醫療機構而言并不合適?；谠O備配置文件的分段方法考慮了多種因素（包括設備類型、功能、任務關鍵性和威脅級別），提供的隔離方法能夠顯著降

20、低交叉感染造成的潛在影響。Palo Alto Networks 新一代防火墻支持的 IoT Security 采用基于設備配置文件的精細細分方法，將這些因素考慮在內，以實現隔離。這大大降低了 IT 和物聯網設備之間交叉感染的潛在影響。使用 Palo Alto Networks 新一代防火墻(NGFW)作為分段網關，利用其固有的網絡功能無縫部署到現有環境中，并允許針對網絡中未托管的物聯網設備進行安全控制。假設客戶更愿意選擇網絡訪問控制(NAC)解決方案來細分網絡。在這種情況下，IoT Security 提供了與 Cisco ISE、Forescout 和 Aruba ClearPass 的內置集

21、成，以實現細分；然而，由于 NAC 僅在可以進行身份驗證的設備中具有可視性，因此對于不能進行身份驗證的物聯網設備存在盲點，因為這些設備之間沒有與之相關聯的用戶。因此，IoT Security 為 NAC 解決方案提供未托管設備信息發現功能，并提供額外的設備情境，以便對其進行智能分段。以下是我們的一個現場客戶示例，展示了 IoT Security 如何插入 NAC 解決方案的可視性和情境盲點。9針對物聯網設備實施零信任的正確方法|白皮書表 4：已發現的 NAC 和 IoT Security 設備NACIoT Security已發現的設備：5,698 個已發現的設備：12,012 個NAC 情境：

22、IoT Security 情境：AmbiCom 設備AmbiCom Carefusion 輸液泵基站 物聯網設備的情境感知分區可確保這些設備具有最低訪問權限，并且僅連接到所需應用。此外，此功能可確保設備與訪客和業務網絡隔離，并通過減少系統之間的不兼容問題最大限度減少關鍵物聯網基礎架構的運營停機時間。4.策略實施IoT Security 可以通過其新一代防火墻或通過第三方實施點來實施推薦的零信任安全策略。下文概述了實施方法：通過 Palo Alto Networks 新一代防火墻一鍵執行推薦操作。獲得專利的 Device-ID 策略結構可跟蹤整個網絡中的單一設備，并在基于機器學習的新一代防火墻中

23、為可能發生的任何警報或事件提供詳細的情境信息，無論設備的 IP 地址或位置是否發生變化。此外，策略規則和第 7 層控制會隨著位置和已識別風險的變化而自動更新。請參見表 5，了解 Device-ID 如何增強可擴展性，以及如何快速針對威脅進行補救和響應。通過 NAC 與 Cisco ISE、Forescout 或 Aruba ClearPass 的集成來執行推薦策略。表 5：Device-ID 如何幫助管理員快速準確地實施策略沒有 Device-ID有 Device-ID將 IP 地址作為設備標識的代理無法提供準確的設備 標識可在策略中使用設備標識依靠用戶、網絡或設備管理員來正確解決設備問題很容

24、易出錯，并為漏洞利用創造機會無論設備連接到何處或如何配置，都可以執行一致的 策略對外部系統（如 NAC 或資產管理）的依賴要求構建和維護集成使用 IoT Security 直接輸入 Device-ID，無需復雜 集成威脅或事件調查需要 SOC 接觸多個系統，以跟蹤哪個特定設備生成了警報。SIEM 收到帶有設備信息的威脅警報表 3：了解 IoT Security 如何插入 NAC 盲點MACNAC 識別物聯網安全識別00:*0:7*:73:37:5*AmbiCom 設備Carefusion 輸液泵基站c8:2*:*4:56:27:06Apple 設備醫療工作站08:60:6*:*8:06:83A

25、sus 設備醫療工作站00:08:74:*2:50:*5Dell 設備DICOM 指示器00:2*:5*:6*:06:72HP 設備DICOM 錄像機00:09:6*:*6:60:7*IBM 設備醫療工作站00:*0:*4:2*:*0:94內部技術設備醫療工作站總設備數量5,958 個12,012 個 2022 Palo Alto Networks,Inc.Palo Alto Networks 是 Palo Alto Networks 的注冊商標。本公司的商標列表可在以下網址找到：https:/ 9911 194 網址： 郵箱：contact_salesAPAC零信任原則三：事務掃描基礎架構中

26、的所有內容是否存在惡意活動和數據竊取5.持續監控持續監控是完成物聯網設備零信任安全循環的最后一步，也是至關重要的一步。即使設備已配置并保存在正確的分段中，仍可能在連接到網絡的過程中遭到入侵。如果發現設備遭到入侵，應立即阻止其訪問資源和網絡。我們基于機器學習的 IoT Security 可自動確定設備身份并驗證是否為“正常行為”。一旦確定了“正常行為”，該解決方案就會啟動異常檢測，以發現并優先處理任何與基準質檢的潛在偏差。我們的機器學習建立了第 7 層物聯網設備行為的基準，并提供了兩種類型的洞察數據：IoT Security 使用機器學習并將行為與類似的眾包設備進行對比，以不斷建立行為基準并監控

27、偏差。這些信息有助于自動創建零信任策略。IoT Security 還可監控設備流量和通信模式，并不斷將其與現有的 VLAN 設計進行對比，以模擬正確的微分段設計，并在此之后實施。物聯網設備產生獨特的、可識別的網絡行為模式。使用機器學習和人工智能，IoT Security 可以識別這些行為并確定網絡上的每一臺設備，從而創建豐富的情境感知清單，該清單可以動態維護并始終保持最新。在識別設備并建立其正常網絡活動的基準后，可監控網絡活動，以檢測任何說明攻擊或違規的異常行為。IoT Security 通過門戶中的安全警報通知管理員，如果檢測到此類行為，則根據每個管理員的通知設置，通過電子郵件和短信通知用戶

28、。該產品還會阻止不符合已建立的安全性和合規性策略的設備訪問網絡。6.內置防御措施IoT Security 通過行業領先的 IPS、惡意軟件分析、Web 和 DNS 防御技術監控所有物聯網設備并阻止所有威脅。我們的云交付安全服務與 IoT Security 無縫集成，在不增加安全人員工作量的情況下，協調情報以防止所有 IoT、IoMT、OT 和 IT 威脅。為了減少響應時間，受到已驗證威脅的物聯網設備可以在我們的基于機器學習的新一代防火墻檢測到威脅時動態隔離，讓您的安全團隊有時間制定補救計劃，而不會有進一步受到這些設備感染的風險。在整個基礎架構中實施零信任過去，保護網絡邊界內可識別的用戶、應用和設備不足為奇。然而，在網絡安全邊界模糊且不斷擴大的企業中，未托管物聯網設備的激增樹立了新范例。因此，企業必須采用基于零信任最佳實踐的全新簡化版 IoT security 方法。獲取業界最全面的物聯網安全解決方案的免費產品演示，親自了解 Palo Alto Networks IoT security 服務如何顯著簡化非托管物聯網設備零信任框架的采用。