互聯(lián)性和便利性是許多人現(xiàn)在認(rèn)為對(duì)日常生活至關(guān)重要的兩件事。盡管世界上很多人都期待物聯(lián)網(wǎng) (IoT) 的便利性，但他們通常很少考慮物聯(lián)網(wǎng)底層傳輸網(wǎng)絡(luò)的安全性。但今年有138 億活躍的物聯(lián)網(wǎng)設(shè)備連接，并且在不久的將來(lái)有望成倍增長(zhǎng)，物聯(lián)網(wǎng)網(wǎng)絡(luò)安全至關(guān)重要

預(yù)計(jì)到 2025 年，物聯(lián)網(wǎng)設(shè)備將超過(guò) 250 億臺(tái)，公司將謹(jǐn)慎地將最小特權(quán)原則應(yīng)用于其 IT 人員。（來(lái)源：freepik）

根據(jù)代表全球移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商的組織 GSM 協(xié)會(huì) (GSMA) 的說(shuō)法，物聯(lián)網(wǎng)設(shè)備制造商仍然未能充分考慮安全性進(jìn)行設(shè)計(jì)和構(gòu)建。

更糟糕的是，GSMA 建議大多數(shù)設(shè)備制造商對(duì)如何保護(hù)他們的設(shè)備沒(méi)有足夠的了解。不安全的設(shè)備使黑客可以輕松訪(fǎng)問(wèn)電信網(wǎng)絡(luò)，從而為網(wǎng)絡(luò)攻擊帶來(lái)重大風(fēng)險(xiǎn)。隨著物聯(lián)網(wǎng)隨著網(wǎng)絡(luò)的擴(kuò)展而轉(zhuǎn)向使用 5G，不安全的設(shè)備威脅著 5G 網(wǎng)絡(luò)的安全。

物聯(lián)網(wǎng)邊緣缺乏安全性給通信服務(wù)提供商 (CSP)帶來(lái)了巨大的安全負(fù)擔(dān)，包括電信網(wǎng)絡(luò)提供商、有線(xiàn)電視服務(wù)和云通信提供商。隨著越來(lái)越多的傳統(tǒng)電信公司以外的參與者通過(guò) 5G 網(wǎng)絡(luò)參與物聯(lián)網(wǎng)并與物聯(lián)網(wǎng)設(shè)備互動(dòng)，攻擊面正在顯著擴(kuò)大。因此，CSP 必須采取額外措施來(lái)確保其系統(tǒng)的安全性。

CSP 不斷演變的安全問(wèn)題

GSMA 在其對(duì)安全形勢(shì)的年度審查中確定了移動(dòng)通信行業(yè)的八個(gè)主要威脅和漏洞領(lǐng)域：

設(shè)備和物聯(lián)網(wǎng)

云安全

保護(hù) 5G

信令和互連

供應(yīng)鏈

軟件和虛擬化

網(wǎng)絡(luò)和運(yùn)營(yíng)安全

安全技能短缺

設(shè)備和物聯(lián)網(wǎng)安全一直是 GSMA 關(guān)注的問(wèn)題，尤其是在聯(lián)網(wǎng)設(shè)備的數(shù)量繼續(xù)遠(yuǎn)遠(yuǎn)超過(guò)世界人口的情況下，預(yù)計(jì)到 2025 年將有250 億臺(tái)聯(lián)網(wǎng)的物聯(lián)網(wǎng)設(shè)備。設(shè)備技術(shù)堆棧的復(fù)雜性隨之增加。

GSMA 將企業(yè)網(wǎng)絡(luò)和電信網(wǎng)絡(luò)之間的連接視為一個(gè)重要的潛在攻擊媒介，尤其是在公司利用 5G 部署的情況下。多年來(lái)，行業(yè)專(zhuān)業(yè)人士和學(xué)者一直在調(diào)查 5G 的安全風(fēng)險(xiǎn)，美國(guó)政府也是如此。但隨著 5G 的普及，攻擊面的擴(kuò)大仍然存在擔(dān)憂(yōu)。GSMA 建議 5G CSP 應(yīng)實(shí)施一系列安全協(xié)議。

保護(hù) CSP 的推薦措施之一是特權(quán)訪(fǎng)問(wèn)管理。正確實(shí)施的 PAM 通過(guò)限制黑客可以嘗試?yán)玫奶貦?quán)和權(quán)限的數(shù)量來(lái)減少攻擊面。而且 PAM 對(duì) CSP 操作的影響最小，因?yàn)槠淠康氖莿h除人員和流程完成工作所不需要的權(quán)限和權(quán)限。

PAM 與 IAM

許多讀者可能熟悉 IAM（身份和訪(fǎng)問(wèn)管理），但不太熟悉 PAM。雖然它們有共同的目標(biāo)，但它們的范圍和應(yīng)用卻不同。

考慮一個(gè)金字塔，其中有限數(shù)量的管理用戶(hù)位于頂點(diǎn)，一般用戶(hù)構(gòu)成基礎(chǔ)。在其各種迭代中，IAM 涵蓋了整個(gè)金字塔。但是，許多 IAM 應(yīng)用程序?qū)Ｗ⒂诨A(chǔ)用戶(hù)的權(quán)限，即那些經(jīng)常訪(fǎng)問(wèn)系統(tǒng)但幾乎沒(méi)有或沒(méi)有管理權(quán)限的用戶(hù)。另一方面，PAM 專(zhuān)注于高層，即那些因?yàn)樗麄兊慕M織角色而成為最理想目標(biāo)的人。

請(qǐng)注意，當(dāng)我們?cè)谶@里提到用戶(hù)時(shí)，它與說(shuō)人類(lèi)不同。IAM 和 PAM 控制也適用于系統(tǒng)內(nèi)的非人類(lèi)身份，例如，可能有自己的身份的流程。

配置權(quán)限和訪(fǎng)問(wèn)權(quán)限

在為組織的用戶(hù)分配權(quán)利和權(quán)限時(shí)，IT 人員可以采用多種方法。首先，也是最糟糕的，是對(duì)公司系統(tǒng)和數(shù)據(jù)存儲(chǔ)的廣泛訪(fǎng)問(wèn)——實(shí)際上根本沒(méi)有控制權(quán)。不用說(shuō)，這種方法是高風(fēng)險(xiǎn)的，會(huì)給組織帶來(lái)很大的風(fēng)險(xiǎn)。但許多組織確實(shí)允許用戶(hù)獲得比他們需要的更多的訪(fǎng)問(wèn)權(quán)限，以避免無(wú)意中擾亂日?；顒?dòng)，擴(kuò)大公司的攻擊面。

謹(jǐn)慎的公司采用最小特權(quán)、需要知道的訪(fǎng)問(wèn)或兩者結(jié)合的原則。最小權(quán)限處理用戶(hù)如何在系統(tǒng)中工作；Need-to-know 解決了他們可以在系統(tǒng)中訪(fǎng)問(wèn)的內(nèi)容。

在最小權(quán)限原則下，用戶(hù)只獲得他們工作所必需的那些權(quán)利和許可——不多也不少。通過(guò)阻止用戶(hù)獲得他們從未使用過(guò)的區(qū)域的權(quán)限，組織可以消除不必要的漏洞，而不會(huì)對(duì)用戶(hù)的性能產(chǎn)生負(fù)面影響。

需要知道適用于組織的數(shù)據(jù)，限制訪(fǎng)問(wèn)與用戶(hù)執(zhí)行其工作職能直接相關(guān)和必要的數(shù)據(jù)。

缺乏最低權(quán)限或需要知道的控制只是許多組織中常見(jiàn)的與身份相關(guān)的一些漏洞。許多組織仍然擁有共享帳戶(hù)或密碼，這削弱了審計(jì)活動(dòng)和確保遵守公司安全策略的能力。公司還經(jīng)常擁有舊的、未使用的帳戶(hù)，通常具有大量特權(quán)，理想情況下這些帳戶(hù)早就被清除了。許多公司仍然依賴(lài)手動(dòng)或分散配置和維護(hù)用戶(hù)憑證。

為什么（以及如何）CSP 應(yīng)該使用 PAM

用戶(hù)擁有的每一項(xiàng)特權(quán)和訪(fǎng)問(wèn)權(quán)限都為網(wǎng)絡(luò)犯罪分子創(chuàng)造了獨(dú)特的機(jī)會(huì)。因此，限制這些特權(quán)和訪(fǎng)問(wèn)權(quán)限符合每個(gè) CSP 的最佳利益。這樣做可以限制潛在的攻擊媒介，并在黑客成功盜用特定用戶(hù)的身份時(shí)將可能造成的損害降至最低。用戶(hù)擁有的權(quán)限越少，成功的攻擊者就越少。

限制權(quán)限還可以限制可能損壞組織系統(tǒng)的攻擊類(lèi)型。例如，某些類(lèi)型的惡意軟件需要更高的權(quán)限才能有效地安裝和運(yùn)行。如果黑客試圖通過(guò)非特權(quán)用戶(hù)帳戶(hù)插入惡意軟件，他們就會(huì)碰壁。

以下是 CSP 應(yīng)遵循的一些最佳實(shí)踐。

實(shí)施權(quán)限管理策略：鑒于沒(méi)有單一的、普遍適用的物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)，CSPS 需要嚴(yán)格定義和監(jiān)控的策略，通過(guò)消除任何偏差機(jī)會(huì)來(lái)確保合規(guī)性。策略應(yīng)定義誰(shuí)控制權(quán)限和權(quán)限的供應(yīng)和管理，供應(yīng)如何發(fā)生，以及必要時(shí)重新供應(yīng)或取消供應(yīng)的時(shí)間表。此外，策略應(yīng)解決密碼安全問(wèn)題，包括密碼強(qiáng)度、多因素身份驗(yàn)證的使用和密碼到期。

集中 PAM 和 IAM：CSP 應(yīng)該有一個(gè)集中的系統(tǒng)，用于權(quán)限和訪(fǎng)問(wèn)權(quán)限的配置、維護(hù)和取消配置。建立具有高權(quán)限的帳戶(hù)清單可防止組織將未使用的帳戶(hù)漏掉。

確保最低權(quán)限意味著最低權(quán)限：雖然如果用戶(hù)必須聯(lián)系幫助臺(tái)來(lái)執(zhí)行某些任務(wù)，他們可能會(huì)感到沮喪，但這并不是為他們提供比他們需要的更多權(quán)限的理由。大多數(shù)公司邊緣或端點(diǎn)用戶(hù)不需要具有管理權(quán)限或訪(fǎng)問(wèn)根目錄。即使是特權(quán)用戶(hù)也不需要廣泛的訪(fǎng)問(wèn)權(quán)限。限制對(duì)執(zhí)行工作絕對(duì)必要的訪(fǎng)問(wèn)。

通過(guò)分段增加安全性：分段系統(tǒng)和網(wǎng)絡(luò)有助于防止黑客在成功進(jìn)入公司網(wǎng)絡(luò)時(shí)進(jìn)行橫向攻擊。在可能的情況下，使用分段之間的零信任策略來(lái)加強(qiáng)分段。

實(shí)施密碼安全最佳實(shí)踐：密碼衛(wèi)生不良仍然是許多組織的一個(gè)重大漏洞。通過(guò)培訓(xùn)員工了解強(qiáng)密碼、多因素身份驗(yàn)證和密碼過(guò)期帶來(lái)的輕微不便，可以保護(hù)公司免受泄露的潛在破壞性后果，從而建立安全文化。

安全 CSP 是安全 IoT 的支柱

如果沒(méi)有安全的 CSP 網(wǎng)絡(luò)，物聯(lián)網(wǎng)就是網(wǎng)絡(luò)犯罪分子的游樂(lè)場(chǎng)。在擔(dān)心數(shù)以百萬(wàn)計(jì)的邊緣設(shè)備之前，CSP 安全專(zhuān)家應(yīng)該向內(nèi)看，并盡可能地保護(hù)他們的內(nèi)部系統(tǒng)。應(yīng)用最小特權(quán)原則和特權(quán)訪(fǎng)問(wèn)管理系統(tǒng)是有用的第一步。

審核編輯 黃昊宇