关于统计企业联网设备数量的方法,最常见的还是半手动计数。一般来说,企业掌握的联网设备数量只是实际数量的70%,而剩下的30%对企业来说可能是致命的。
如今,校园、数据中心、云平台、操作技术(OT,Operation Technology)网络和医疗物联网(IoMT)中的联网设备数量不断增加,类型也五花八门,设备识别变得越发困难。企业不仅需要掌握设备数量,还需要明确知道设备类型、连接类型(有线/无线)、物理位置(建筑物、壁橱、交换机、端口)以及设备用途。
设备可视化应和资产管理齐头并进,为此需要一个准确且有丰富情境的资产管理数据库(通常是配置管理数据库 CMDB),以了解设备的功能、关系、操作关键和依赖性等,掌握这些属性有助于企业管理资产生命周期并优化资产性能和可用性,同时降低成本和风险。
大多数 CMDB 无法实时、持续地发现和收集所有联网设备数据,尤其是无代理的 IoT 和 OT 系统中的设备,因此为了确保 CMDB 的运行,新资产加入网络或更改配置后必须不断刷新,而这就是网络安全资产管理解决方案的任务,与 CMDB 同步的双向通信能确保企业拥有单一数据来源,从而提高 CMDB 的价值。
一、设备的持续发现、分类和评估
很多时候,掌握联网设备还涉及追踪孤立信息,并手动整合。企业安全部门对设备及其交互的可视性有限,而要充分实施治理策略则需要部署不同产品,部署情况也并不彻底。简单来说,企业对其网络、资产及用户的整体安全态势无法实时掌握,好比消防员一直在灭火,可灭的只是看得见的火。
企业要实施最佳可视化策略需要利用工具在无代理的情况(除非特殊情况)下持续发现所有设备,再根据设备属性自动分类,另外还需要使用策略引擎比较当前状态与策略内容,作为策略遵守情况的评估:
1、联网设备的持续发现需要依靠多种机制检测拓展网络上的所有资产,包括 IT、IoT、IoMT 和 OT 设备;
2、联网设备的持续分类能有效洞察设备类型、厂商、型号、功能、用户和操作系统等信息;
3、联网设备的持续评估确定了设备的安装、配置和操作内容,以及设备配置和状态的更改情况。
上述三点的关键词是持续。黑客只需要一台配置过时或细节不准确的设备就可以伺机破坏网络。
部分可视化 = 部分保护。
二、使用共生工具实现100%设备可视化
网络可视化利用被动发现、主动扫描或集成技术识别所有联网设备,大致分为四类:
1、通过网络集成发现设备
2、通过流量监控发现和分类设备
3、通过扫描发现和分类设备
4、通过集成的第三方工具评估设备
1)网络集成
网络集成是指通过 SNMP、CLI 或 API 将网络路由器、交换机和 WLAN 控制器互联,以发现网络设备并为风险评估和管控提供关键的情境数据。网络集成提供了每个设备的物理位置,还可以查看设备的交换机 IP、厂商名称、端口名称、别名和配置、VLAN 以及是否为远程供电(PoE)类型。正是由于网络集成可以让企业对这些信息一览无余,使其在分散的全球网络中格外有价值。所有联网设备信息,一问网络便知。
2)网络流量监控
流量监控工具由于其易于安装和被动部署的特点,造成的干扰最小,因此常用于设备发现和分类。其功能除了执行深度数据包检测(DPI)之外,还包括识别 HTTP 用户代理、DHCP 和通信流。然而,这一方法的缺点在于无法将流量传感器遍布全球网络,如果一个设备的所有通信都没有经过中央阻塞点的传感器位置,则可能会完全遗漏该设备。
3)扫描仪
扫描仪可以主动探测可能无法被动查看的端口、标题和信息,从而完善了包括远程设备在内的所有设备分类。扫描仪和流量监控工具一样,对于不响应扫描的设备以及在预定扫描间隔期间不存在的设备可能存在遗漏的情况。很多设备对主动探测和扫描很敏感,可能会导致业务中断,甚至会损害 IoMT、IoT 和 OT/ICS 设备。
4)第三方集成
第三方集成指 API 和 SQL 与第三方工具的集成提供了大量有关设备的附加信息,这些信息使得安全产品可以相互补充,提高企业网络的整体防御能力。然而,为了保证设备探测的准确性,通过第三方集成抓取的信息必须与上述三种方法收集到的数据一致,特别是设备由配置正确的远程代理进行妥善管理的情况下,对于数据可靠性十分重要。
上述四种方法都有各自的优缺点,没有一种适用于所有设备类型,而结合不同联网设备之间的巨大差异来看这也在情理之中。如果企业希望发现并分类所有类型的设备保障网络安全,就需要运用多种主动/被动的网络和设备技术,这些技术必须支持条件配置,不能只是全局参数配置。此外,IoMT 和 OT/ICS 设备还需要更为灵活的方法。
三、企业为何需要设备可视化和网络资产管理解决方案?
设备可视化等网络安全自动化技术正在迅速发展。厂商和企业客户使用的术语也有所不同,遇到有疑问的术语时应立即询问厂商或企业客户。扫描仪就是一个很好的例子。Ping 工具是用于网络扫描还是设备探测?“网络集成”是指网络设备的镜像端口还是 SNMP/CLI?还是通过全球分布式环境中的镜像端口实现资产完全可视化?类似的术语都需要反复确认。
要实现资产完全可视化需要上述四种技术的结合,至少目前如此。如果厂商建议企业只采用其中一两个技术,企业应该对此提出质疑。
以下四个达标问题可供企业参考。前两个很容易理解:
1、该资产可视化方案是否可以与企业现有基础架构和工具轻松集成?提出这个问题是因为网络安全部署已经很复杂,没有必要再徒增负担。
2、该资产可视化方案是否与技术无关,是否需要购买专门的平台?可视化方案的初衷是提高企业安全投资的价值,而不是增加不必要的成本。
3、该资产可视化方案需要多久来实现价值?全面的资产可视化方案应在部署几天后就能通过持续发现设备实现价值,也就是查看网络上的所有资产。对于复杂的大型环境,可视化方案平均只需一个多月就可以通过设备的持续分类和评估实现全部价值。而在网络上查看所有资产并不代表对所有资产尽在掌握,为此企业应严格审查任何一天、任何传感器、任何电缆发出的声明确保资产的完全可视化。
4、该资产可视化方案可以自动同步企业 CMDB 中的所有设备信息吗?为了让 CMDB 作为网络资产管理的单一数据来源,企业必须使用资产可视化方案提供的实时信息对其不断刷新,这一点是 CMDB 自身无法做到的。
四、资产管理让网络威胁无所遁形
资产管理可视化为网络安全奠定了基础。在重大勒索软件攻击或其他违规事件发生后,许多网络领导者对于一步到位部署零信任安全策略而倍感压力。事实上,零信任的部署需要一定时间,企业很可能在部署完成前就遭遇重大损失。
企业的不断发展也使安全策略的实施变得更加复杂和耗时,因此循序渐进的部署就显得至关重要。为此,企业首先需要搭建牢固的基础,而整体可视化就是一个很好的切入,帮助企业充分排查可能会遭遇网络攻击的地方。