导语:本文将介绍7款工具,可为您提供网络或IoT可视性,以多种方式帮助您的IT团队更好地部署防范措施。

Image_1.jpg

背景介绍

近日,提及物联网威胁,你或许会联想到Mirai僵尸网络的最新变种“Wicked Mirai”。据悉,自Mirai僵尸网络于2016年首次被MalwareMustDie的安全专家发现以来,就被用于为野外的大规模DDoS攻击提供动力。而Mirai的源代码于2016年10月在线泄露,自此,又出现了许多其他变体,包括Satori、Masuta和Okiru。

安全专家指出,在最新变种“Wicked”中出现了一些重大的修改,例如增加了将受感染的设备变成恶意软件代理和密码器群的功能。据悉,Wicked Mirai会通过连接到物联网设备的原始套接字SYN连接扫描端口8080,8443,80和81。一旦建立了连接,bot就会尝试利用设备并通过write()系统调用将漏洞字符串写入套接字来下载攻击载荷。

当然,今天我们要说的威胁并不是“Wicked”僵尸网络,而是一种更易被忽视的威胁类型——可视性。每时每刻都有新的设备加入您的网络——未受管的笔记本电脑、智能手机和平板电脑、各种形式和规模的物联网(IoT)设备、未授权的端点、服务器等,这些设备会明显增大您的受攻击面,并且对许多安全产品都不可见。

正所谓“未知攻焉知防”,如果你连物联网网络上存在哪些东西都不知道,又何谈要保护或防范什么呢!如今,随着企业物联网设备的加速增长,以及“影子物联网”(shadow IoT,等同于传统IT领域的“影子IT”)的破坏性崛起,这种物联网网络中的未知事物也在随着激增。这时候就引发了安全会议上最常听到的一个关键问题——“可见性”!如今,市场上也涌现了大批用于获取关键可视性的工具,它们可以提供不同的角度来审视物联网网络环境。

想要实现安全“可视性”,就意味着你需要了解连接到网络的所有设备、运行在这些设备上的所有软件,以及他们所使用的云服务等等。传统的网络可视性工具,比如tap或span端口——可能不足以满足物联网的需求。虽然这些是非破坏性流量分析的重要工具,但它们是第1层设备,本身并不提供下述推荐工具所能提供的那种网络或IoT可见性。

但是别担心,下述推荐的这些工具可以为您提供网络或IoT可视性,以多种方式帮助您的IT团队更好地部署防范措施。 

7款推荐工具

1. AppDynamics

appdynamics.jpg

2017年初,思科以37亿美元的价格收购了原本打算上市的软件公AppDynamics Inc.。收购完成后,AppDynamics成为了思科旗下的一家新软件业务子公司,负责物联网及应用业务,AppDynamics首席执行长David Wadhwani继续负责执掌这一部门,并向思科高级副总裁Rowan Trollope汇报工作。

AppDynamics使用端点行为来提供端点本身的可视性,其建立在AppIQ平台(应用数据分析服务)之上,会自动忽略对网络上不活跃的设备性质的洞察,更为专注的洞察网络上更为活跃的设备。其主要特征包括高度可扩展性的架构,以及提供对任何应用程序——无论该应用程序是使用本地运行的代码、客户端/服务器本地架构、云服务还是三者的组合——可见性的能力。

2. ForeScout CounterACT

forescout.jpg

ForeScout CounterACT是一个物理或虚拟安全解决方案,可动态确定和评估网络设备以及应用程序,一旦台式电脑、笔记本电脑、平板电脑、智能手机、物联网端点、周边设备和未授权的设备连接网络,即使它们没有安装安全代理,ForeScout CounterACT也可以立即发现它们。此外,它还可以发现服务器、路由器和接入点,收集有关设备类型、用户、应用程序、操作系统等的深入见解,然后持续监控设备。

与只提供警告和发送IT置乱的解决方案不同,CounterACT可基于设备情况和您的安全战略允许、拒绝或限制网络访问。它还可以自动评估和修补恶意或高风险端点,从而帮助您遵守行业指令和规定。其主要特征包括开放的互操作性——CounterACT可用于常见交换机、路由器、VPN、防火墙、端点操作系统(Windows、Linux、iOS、OS X 和 Android)、修补程序管理系统、防病毒系统、目录以及标签系统,无需更改或升级基础设施;安全性协调——可选的模块协调CounterACT与领先的IT及安全管理产品之间的信息共享以及基于策略的安全保护实施等等。

3. Fortinet Fortigate

Fortinet.png

Fortinet的Fortigate设备通过提供所有流量的转换来获得物联网的可见性。当网络流量通过Fortigate时,它会检测到有关发送硬件和软件的信息,以及与设备可能通信的任何外部系统的目标地址。

与一些企业中传统的IT产品不同,Fortinet公司制造了一种工业物联网版本的Fortigate,其具有加固外壳和硬件,以抵御工业环境中的温度、振动、灰尘以及其他恶劣条件。

当FortiManager和FortiAnalyzer软件结合使用时,工业互联网版本的Fortigate能够为物联网上的设备、服务和软件提供全面的可视性。

4. LogRhythm Netmon

LogRhythm.png

Netmon是更大的LogRhythm威胁生命周期管理(TLM)平台的一部分。它能够提供对企业整个网络(IT和物联网)的可视性。Netmon能够从第1层到第7层捕获数据,并执行独立分析以及将数据传递给其他应用程序。

LogRhythm还为Netmon提供了“免费增值”版本,该版本提供了完整版本的所有功能,但是降低了带宽和存储容量。

5. Pwnie Express

pwnie.png

学院派的技术人员会明白“PWNIE”的意思(“Pwnie Awards”奖被誉为全球黑客奥斯卡,是为有重大和突出研究成果的信息安全工作者设立的奖项),PWNIE Express产品能够发现并提供对连接到网络的设备的可视性,无论这些设备是台式电脑、笔记本电脑还是物联网设备。该公司的Pwn Pulse产品提供了网络设备的资产清单,并监控它们的变化和增加。

与列表中的大多数其他产品一样,Pwn Pulse产品采用无代理的方式实现网络可视性,并主动扫描网络中的设备及其行为。Pwnie Express公司表示,Pulse可以通过电缆、无线网络和蓝牙找到设备,并且可以对发现的每个设备进行全面标识,从而使安全专家能够了解新的物联网设备何时出现在网络上,或者现有的物联网设备显现非典型或未经授权的行为。

6. Trustwave

trustwave.png

Trustwave采用托管服务方式实现物联网可视性。在建立安全方案之前,该服务使用非常活跃的技术来探测、攻击和编目联网设备,然后对配置进行定期的重新测试和重新定义。

Trustwave可以为物联网制造商、开发商、服务提供商和企业客户提供不同的服务。然而,在任何情况下,一个保持不变的关键概念是,Trustwave将向客户提供托管安全服务,包括连接到物联网网络的设备的可见性。

7. Zingbox

Zingbox.png

2014年11月,邹叙与两位好友共同创办了Zingbox,致力于开发物联网领域的安全软件。他们都不是年轻冒进的创业者,而都在硅谷科技行业摸爬滚打十多年,拥有核心的相关专利。联合创始人王梅是斯坦福博士,在思科等公司拥有十多年物联网相关研发经验。而另一位创始成员曾健林和邹叙一样都来自于去年上市的无线控制器公司Aerohive,是Aerohive最初的第二个工程师。

Zingbox公司推出的“ZingBox Guardian”产品是目前市场上唯一一个基于“设备个性”这一全新概念的物联网安全解决办法的产品。它利用复杂的机器学习去发现、评估风险,判断异常行为,并提供实时而全方位的企业物联网矫正。目前ZingBox的技术正在申请专利,它可以深度抓取每个物联网设备的“个性”,分析并串联物联网中的每个设备,并不断地关注设备任何可能的行为偏差,并对可疑的行为作出预警。

源链接

Hacking more

...