互聯(lián)性和便利性是許多人現(xiàn)在認(rèn)為對日常生活至關(guān)重要的兩件事。盡管世界上很多人都期待物聯(lián)網(wǎng) (IoT) 的便利性，但他們通常很少考慮物聯(lián)網(wǎng)底層傳輸網(wǎng)絡(luò)的安全性。但今年有138 億活躍的物聯(lián)網(wǎng)設(shè)備連接，并且在不久的將來有望成倍增長，物聯(lián)網(wǎng)網(wǎng)絡(luò)安全至關(guān)重要

預(yù)計到 2025 年，物聯(lián)網(wǎng)設(shè)備將超過 250 億臺，公司將謹(jǐn)慎地將最小特權(quán)原則應(yīng)用于其 IT 人員。（來源：freepik）

根據(jù)代表全球移動網(wǎng)絡(luò)運(yùn)營商的組織 GSM 協(xié)會 (GSMA) 的說法，物聯(lián)網(wǎng)設(shè)備制造商仍然未能充分考慮安全性進(jìn)行設(shè)計和構(gòu)建。

更糟糕的是，GSMA 建議大多數(shù)設(shè)備制造商對如何保護(hù)他們的設(shè)備沒有足夠的了解。不安全的設(shè)備使黑客可以輕松訪問電信網(wǎng)絡(luò)，從而為網(wǎng)絡(luò)攻擊帶來重大風(fēng)險。隨著物聯(lián)網(wǎng)隨著網(wǎng)絡(luò)的擴(kuò)展而轉(zhuǎn)向使用 5G，不安全的設(shè)備威脅著 5G 網(wǎng)絡(luò)的安全。

物聯(lián)網(wǎng)邊緣缺乏安全性給通信服務(wù)提供商 (CSP)帶來了巨大的安全負(fù)擔(dān)，包括電信網(wǎng)絡(luò)提供商、有線電視服務(wù)和云通信提供商。隨著越來越多的傳統(tǒng)電信公司以外的參與者通過 5G 網(wǎng)絡(luò)參與物聯(lián)網(wǎng)并與物聯(lián)網(wǎng)設(shè)備互動，攻擊面正在顯著擴(kuò)大。因此，CSP 必須采取額外措施來確保其系統(tǒng)的安全性。

CSP 不斷演變的安全問題

GSMA 在其對安全形勢的年度審查中確定了移動通信行業(yè)的八個主要威脅和漏洞領(lǐng)域：

設(shè)備和物聯(lián)網(wǎng)

云安全

保護(hù) 5G

信令和互連

供應(yīng)鏈

軟件和虛擬化

網(wǎng)絡(luò)和運(yùn)營安全

安全技能短缺

設(shè)備和物聯(lián)網(wǎng)安全一直是 GSMA 關(guān)注的問題，尤其是在聯(lián)網(wǎng)設(shè)備的數(shù)量繼續(xù)遠(yuǎn)遠(yuǎn)超過世界人口的情況下，預(yù)計到 2025 年將有250 億臺聯(lián)網(wǎng)的物聯(lián)網(wǎng)設(shè)備。設(shè)備技術(shù)堆棧的復(fù)雜性隨之增加。

GSMA 將企業(yè)網(wǎng)絡(luò)和電信網(wǎng)絡(luò)之間的連接視為一個重要的潛在攻擊媒介，尤其是在公司利用 5G 部署的情況下。多年來，行業(yè)專業(yè)人士和學(xué)者一直在調(diào)查 5G 的安全風(fēng)險，美國政府也是如此。但隨著 5G 的普及，攻擊面的擴(kuò)大仍然存在擔(dān)憂。GSMA 建議 5G CSP 應(yīng)實施一系列安全協(xié)議。

保護(hù) CSP 的推薦措施之一是特權(quán)訪問管理。正確實施的 PAM 通過限制黑客可以嘗試?yán)玫奶貦?quán)和權(quán)限的數(shù)量來減少攻擊面。而且 PAM 對 CSP 操作的影響最小，因為其目的是刪除人員和流程完成工作所不需要的權(quán)限和權(quán)限。

PAM 與 IAM

許多讀者可能熟悉 IAM（身份和訪問管理），但不太熟悉 PAM。雖然它們有共同的目標(biāo)，但它們的范圍和應(yīng)用卻不同。

考慮一個金字塔，其中有限數(shù)量的管理用戶位于頂點，一般用戶構(gòu)成基礎(chǔ)。在其各種迭代中，IAM 涵蓋了整個金字塔。但是，許多 IAM 應(yīng)用程序?qū)Ｗ⒂诨A(chǔ)用戶的權(quán)限，即那些經(jīng)常訪問系統(tǒng)但幾乎沒有或沒有管理權(quán)限的用戶。另一方面，PAM 專注于高層，即那些因為他們的組織角色而成為最理想目標(biāo)的人。

請注意，當(dāng)我們在這里提到用戶時，它與說人類不同。IAM 和 PAM 控制也適用于系統(tǒng)內(nèi)的非人類身份，例如，可能有自己的身份的流程。

配置權(quán)限和訪問權(quán)限

在為組織的用戶分配權(quán)利和權(quán)限時，IT 人員可以采用多種方法。首先，也是最糟糕的，是對公司系統(tǒng)和數(shù)據(jù)存儲的廣泛訪問——實際上根本沒有控制權(quán)。不用說，這種方法是高風(fēng)險的，會給組織帶來很大的風(fēng)險。但許多組織確實允許用戶獲得比他們需要的更多的訪問權(quán)限，以避免無意中擾亂日常活動，擴(kuò)大公司的攻擊面。

謹(jǐn)慎的公司采用最小特權(quán)、需要知道的訪問或兩者結(jié)合的原則。最小權(quán)限處理用戶如何在系統(tǒng)中工作；Need-to-know 解決了他們可以在系統(tǒng)中訪問的內(nèi)容。

在最小權(quán)限原則下，用戶只獲得他們工作所必需的那些權(quán)利和許可——不多也不少。通過阻止用戶獲得他們從未使用過的區(qū)域的權(quán)限，組織可以消除不必要的漏洞，而不會對用戶的性能產(chǎn)生負(fù)面影響。

需要知道適用于組織的數(shù)據(jù)，限制訪問與用戶執(zhí)行其工作職能直接相關(guān)和必要的數(shù)據(jù)。

缺乏最低權(quán)限或需要知道的控制只是許多組織中常見的與身份相關(guān)的一些漏洞。許多組織仍然擁有共享帳戶或密碼，這削弱了審計活動和確保遵守公司安全策略的能力。公司還經(jīng)常擁有舊的、未使用的帳戶，通常具有大量特權(quán)，理想情況下這些帳戶早就被清除了。許多公司仍然依賴手動或分散配置和維護(hù)用戶憑證。

為什么（以及如何）CSP 應(yīng)該使用 PAM

用戶擁有的每一項特權(quán)和訪問權(quán)限都為網(wǎng)絡(luò)犯罪分子創(chuàng)造了獨特的機(jī)會。因此，限制這些特權(quán)和訪問權(quán)限符合每個 CSP 的最佳利益。這樣做可以限制潛在的攻擊媒介，并在黑客成功盜用特定用戶的身份時將可能造成的損害降至最低。用戶擁有的權(quán)限越少，成功的攻擊者就越少。

限制權(quán)限還可以限制可能損壞組織系統(tǒng)的攻擊類型。例如，某些類型的惡意軟件需要更高的權(quán)限才能有效地安裝和運(yùn)行。如果黑客試圖通過非特權(quán)用戶帳戶插入惡意軟件，他們就會碰壁。

以下是 CSP 應(yīng)遵循的一些最佳實踐。

實施權(quán)限管理策略：鑒于沒有單一的、普遍適用的物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)，CSPS 需要嚴(yán)格定義和監(jiān)控的策略，通過消除任何偏差機(jī)會來確保合規(guī)性。策略應(yīng)定義誰控制權(quán)限和權(quán)限的供應(yīng)和管理，供應(yīng)如何發(fā)生，以及必要時重新供應(yīng)或取消供應(yīng)的時間表。此外，策略應(yīng)解決密碼安全問題，包括密碼強(qiáng)度、多因素身份驗證的使用和密碼到期。

集中 PAM 和 IAM：CSP 應(yīng)該有一個集中的系統(tǒng)，用于權(quán)限和訪問權(quán)限的配置、維護(hù)和取消配置。建立具有高權(quán)限的帳戶清單可防止組織將未使用的帳戶漏掉。

確保最低權(quán)限意味著最低權(quán)限：雖然如果用戶必須聯(lián)系幫助臺來執(zhí)行某些任務(wù)，他們可能會感到沮喪，但這并不是為他們提供比他們需要的更多權(quán)限的理由。大多數(shù)公司邊緣或端點用戶不需要具有管理權(quán)限或訪問根目錄。即使是特權(quán)用戶也不需要廣泛的訪問權(quán)限。限制對執(zhí)行工作絕對必要的訪問。

通過分段增加安全性：分段系統(tǒng)和網(wǎng)絡(luò)有助于防止黑客在成功進(jìn)入公司網(wǎng)絡(luò)時進(jìn)行橫向攻擊。在可能的情況下，使用分段之間的零信任策略來加強(qiáng)分段。

實施密碼安全最佳實踐：密碼衛(wèi)生不良仍然是許多組織的一個重大漏洞。通過培訓(xùn)員工了解強(qiáng)密碼、多因素身份驗證和密碼過期帶來的輕微不便，可以保護(hù)公司免受泄露的潛在破壞性后果，從而建立安全文化。

安全 CSP 是安全 IoT 的支柱

如果沒有安全的 CSP 網(wǎng)絡(luò)，物聯(lián)網(wǎng)就是網(wǎng)絡(luò)犯罪分子的游樂場。在擔(dān)心數(shù)以百萬計的邊緣設(shè)備之前，CSP 安全專家應(yīng)該向內(nèi)看，并盡可能地保護(hù)他們的內(nèi)部系統(tǒng)。應(yīng)用最小特權(quán)原則和特權(quán)訪問管理系統(tǒng)是有用的第一步。

審核編輯 黃昊宇