互聯(lián)性和便利性是許多人現(xiàn)在認為對日常生活至關重要的兩件事。盡管世界上很多人都期待物聯(lián)網(wǎng) (IoT) 的便利性，但他們通常很少考慮物聯(lián)網(wǎng)底層傳輸網(wǎng)絡的安全性。但今年有138 億活躍的物聯(lián)網(wǎng)設備連接，并且在不久的將來有望成倍增長，物聯(lián)網(wǎng)網(wǎng)絡安全至關重要

預計到 2025 年，物聯(lián)網(wǎng)設備將超過 250 億臺，公司將謹慎地將最小特權原則應用于其 IT 人員。（來源：freepik）

根據(jù)代表全球移動網(wǎng)絡運營商的組織 GSM 協(xié)會 (GSMA) 的說法，物聯(lián)網(wǎng)設備制造商仍然未能充分考慮安全性進行設計和構建。

更糟糕的是，GSMA 建議大多數(shù)設備制造商對如何保護他們的設備沒有足夠的了解。不安全的設備使黑客可以輕松訪問電信網(wǎng)絡，從而為網(wǎng)絡攻擊帶來重大風險。隨著物聯(lián)網(wǎng)隨著網(wǎng)絡的擴展而轉向使用 5G，不安全的設備威脅著 5G 網(wǎng)絡的安全。

物聯(lián)網(wǎng)邊緣缺乏安全性給通信服務提供商 (CSP)帶來了巨大的安全負擔，包括電信網(wǎng)絡提供商、有線電視服務和云通信提供商。隨著越來越多的傳統(tǒng)電信公司以外的參與者通過 5G 網(wǎng)絡參與物聯(lián)網(wǎng)并與物聯(lián)網(wǎng)設備互動，攻擊面正在顯著擴大。因此，CSP 必須采取額外措施來確保其系統(tǒng)的安全性。

CSP 不斷演變的安全問題

GSMA 在其對安全形勢的年度審查中確定了移動通信行業(yè)的八個主要威脅和漏洞領域：

設備和物聯(lián)網(wǎng)

云安全

保護 5G

信令和互連

供應鏈

軟件和虛擬化

網(wǎng)絡和運營安全

安全技能短缺

設備和物聯(lián)網(wǎng)安全一直是 GSMA 關注的問題，尤其是在聯(lián)網(wǎng)設備的數(shù)量繼續(xù)遠遠超過世界人口的情況下，預計到 2025 年將有250 億臺聯(lián)網(wǎng)的物聯(lián)網(wǎng)設備。設備技術堆棧的復雜性隨之增加。

GSMA 將企業(yè)網(wǎng)絡和電信網(wǎng)絡之間的連接視為一個重要的潛在攻擊媒介，尤其是在公司利用 5G 部署的情況下。多年來，行業(yè)專業(yè)人士和學者一直在調查 5G 的安全風險，美國政府也是如此。但隨著 5G 的普及，攻擊面的擴大仍然存在擔憂。GSMA 建議 5G CSP 應實施一系列安全協(xié)議。

保護 CSP 的推薦措施之一是特權訪問管理。正確實施的 PAM 通過限制黑客可以嘗試利用的特權和權限的數(shù)量來減少攻擊面。而且 PAM 對 CSP 操作的影響最小，因為其目的是刪除人員和流程完成工作所不需要的權限和權限。

PAM 與 IAM

許多讀者可能熟悉 IAM（身份和訪問管理），但不太熟悉 PAM。雖然它們有共同的目標，但它們的范圍和應用卻不同。

考慮一個金字塔，其中有限數(shù)量的管理用戶位于頂點，一般用戶構成基礎。在其各種迭代中，IAM 涵蓋了整個金字塔。但是，許多 IAM 應用程序專注于基礎用戶的權限，即那些經(jīng)常訪問系統(tǒng)但幾乎沒有或沒有管理權限的用戶。另一方面，PAM 專注于高層，即那些因為他們的組織角色而成為最理想目標的人。

請注意，當我們在這里提到用戶時，它與說人類不同。IAM 和 PAM 控制也適用于系統(tǒng)內(nèi)的非人類身份，例如，可能有自己的身份的流程。

配置權限和訪問權限

在為組織的用戶分配權利和權限時，IT 人員可以采用多種方法。首先，也是最糟糕的，是對公司系統(tǒng)和數(shù)據(jù)存儲的廣泛訪問——實際上根本沒有控制權。不用說，這種方法是高風險的，會給組織帶來很大的風險。但許多組織確實允許用戶獲得比他們需要的更多的訪問權限，以避免無意中擾亂日常活動，擴大公司的攻擊面。

謹慎的公司采用最小特權、需要知道的訪問或兩者結合的原則。最小權限處理用戶如何在系統(tǒng)中工作；Need-to-know 解決了他們可以在系統(tǒng)中訪問的內(nèi)容。

在最小權限原則下，用戶只獲得他們工作所必需的那些權利和許可——不多也不少。通過阻止用戶獲得他們從未使用過的區(qū)域的權限，組織可以消除不必要的漏洞，而不會對用戶的性能產(chǎn)生負面影響。

需要知道適用于組織的數(shù)據(jù)，限制訪問與用戶執(zhí)行其工作職能直接相關和必要的數(shù)據(jù)。

缺乏最低權限或需要知道的控制只是許多組織中常見的與身份相關的一些漏洞。許多組織仍然擁有共享帳戶或密碼，這削弱了審計活動和確保遵守公司安全策略的能力。公司還經(jīng)常擁有舊的、未使用的帳戶，通常具有大量特權，理想情況下這些帳戶早就被清除了。許多公司仍然依賴手動或分散配置和維護用戶憑證。

為什么（以及如何）CSP 應該使用 PAM

用戶擁有的每一項特權和訪問權限都為網(wǎng)絡犯罪分子創(chuàng)造了獨特的機會。因此，限制這些特權和訪問權限符合每個 CSP 的最佳利益。這樣做可以限制潛在的攻擊媒介，并在黑客成功盜用特定用戶的身份時將可能造成的損害降至最低。用戶擁有的權限越少，成功的攻擊者就越少。

限制權限還可以限制可能損壞組織系統(tǒng)的攻擊類型。例如，某些類型的惡意軟件需要更高的權限才能有效地安裝和運行。如果黑客試圖通過非特權用戶帳戶插入惡意軟件，他們就會碰壁。

以下是 CSP 應遵循的一些最佳實踐。

實施權限管理策略：鑒于沒有單一的、普遍適用的物聯(lián)網(wǎng)安全標準，CSPS 需要嚴格定義和監(jiān)控的策略，通過消除任何偏差機會來確保合規(guī)性。策略應定義誰控制權限和權限的供應和管理，供應如何發(fā)生，以及必要時重新供應或取消供應的時間表。此外，策略應解決密碼安全問題，包括密碼強度、多因素身份驗證的使用和密碼到期。

集中 PAM 和 IAM：CSP 應該有一個集中的系統(tǒng)，用于權限和訪問權限的配置、維護和取消配置。建立具有高權限的帳戶清單可防止組織將未使用的帳戶漏掉。

確保最低權限意味著最低權限：雖然如果用戶必須聯(lián)系幫助臺來執(zhí)行某些任務，他們可能會感到沮喪，但這并不是為他們提供比他們需要的更多權限的理由。大多數(shù)公司邊緣或端點用戶不需要具有管理權限或訪問根目錄。即使是特權用戶也不需要廣泛的訪問權限。限制對執(zhí)行工作絕對必要的訪問。

通過分段增加安全性：分段系統(tǒng)和網(wǎng)絡有助于防止黑客在成功進入公司網(wǎng)絡時進行橫向攻擊。在可能的情況下，使用分段之間的零信任策略來加強分段。

實施密碼安全最佳實踐：密碼衛(wèi)生不良仍然是許多組織的一個重大漏洞。通過培訓員工了解強密碼、多因素身份驗證和密碼過期帶來的輕微不便，可以保護公司免受泄露的潛在破壞性后果，從而建立安全文化。

安全 CSP 是安全 IoT 的支柱

如果沒有安全的 CSP 網(wǎng)絡，物聯(lián)網(wǎng)就是網(wǎng)絡犯罪分子的游樂場。在擔心數(shù)以百萬計的邊緣設備之前，CSP 安全專家應該向內(nèi)看，并盡可能地保護他們的內(nèi)部系統(tǒng)。應用最小特權原則和特權訪問管理系統(tǒng)是有用的第一步。

審核編輯 黃昊宇