【升級至最新思科Catalysy 9600:打造未來網路】
思科Catalyst無線與交換器系列將為企業實現意向型網路的新紀元,最新思科Catalysy 9600更帶來更可靠、安全的強大效用,導入思科ISE、Stealthwatch等資安解決方式,以更安全的方式,滿足日益高漲的企業需求。
深入瞭解思科Catalyst 9000 無線與交換器系列👉
http://cs.co/6182EtpDM
瞭解更多思科數位網路架構(DNA) 👉
http://cs.co/6184EDaw8
ise cisco 在 台灣物聯網實驗室 IOT Labs Facebook 的最佳貼文
防範物聯網裝置衍生的威脅,思科呼籲應重視OT的資訊安全
物聯網裝置已是企業必須特別重視的防護標的,思科資安團隊解決方案架構師Timothy Snow在Cisco Connect TPE大會裡,強調要做好相關防護的首要任務,就是要先盤點企業所有的物聯網裝置,並依據資安政策採取網路隔離做起。
文/周峻佑 | 2019-01-24發表
物聯網應用當紅,導致這類設備本身隱含安全性不足的現象,變得更加嚴重,於1月22日的Cisco Connect TPE大會上,思科資安團隊解決方案架構師Timothy Snow特別呼籲企業,應針對物聯網裝置(IoT)採取相關的威脅防禦措施,首先,就要先從找出這些裝置下手,並部署相關的網路隔離措施,然後進一步透視其運作狀態並加以分析,最終得以納入防護的範圍。
Timothy Snow表示,物聯網裝置的資安問題,主要來自於裝置本身就不夠安全,而且數量極為龐大,難以管理。再加上這類設備往往在連上網際網路之後,便能夠與其他任意的裝置通訊,因此,擁有這些物聯網裝置的企業,要如何有效保護相關設施,便成為現在極為重要的課題。
在企業環境中,這些物聯網裝置廣泛存在於辦公環境(OA)、工業控制系統(ICS),或是監控與資料擷取系統(SCADA)等,並且往往是在操作型技術(Operational Technology,OT)網路裡執行,企業的管理策略上,便與IT網路裡的設備有所不同。例如,OT網路裡的設備強調要能持續運作不中斷,重視設備的運作綜效(Overall Equipment Effectiveness,OEE),以及人員操作的安全性與簡單易用等。因此,企業對於物聯網裝置的要求,可用性便是最為優先的要求,然而,在IT網路的網路設備與電腦,機密性才是首要考量。
由於上述的差異,也導致在威脅防護策略上的不同,像是安裝修補軟體上,IT網路的設備企業可能會儘快予以修補,但OT網路上的物聯網裝置,則往往在停機維護時,才排程安裝更新。縱使提供物聯網裝置的業者已經推出了修補軟體,這些裝置卻可能仍然曝露於有關風險裡相當長的一段時間。
然而,這些物聯網裝置一旦遭受攻擊,帶來的後續效應可能極為嚴重。Timothy Snow以美國國家健康照顧系統(NHS)與烏克蘭電廠遭受攻擊等2起事件為例,前者導致急救系統失效,以及許多病患被迫轉院,後者則使得25萬人無電可用。因此,Timothy Snow認為,我們再也不能輕忽物聯網裝置安全。
透過知名的物聯網搜尋引擎Shodan,駭客想要找到攻擊目標也更加容易,光是能從上述搜尋引擎找到位於臺灣的設備,就超過621萬臺。Timothy Snow說,利用這樣的搜尋網站,攻擊者不需要高深的技能,就能得知目標裝置所啟用的連接埠、執行的服務等資訊,物聯網裝置可能遭受攻擊的門檻並不高。
Timothy Snow實際透過Shodan物聯網搜尋引擎找尋在臺灣的裝置,超過620萬臺,因此認為臺灣的企業不能輕忽物聯網裝置相關的威脅。
Shodan上提供的物聯網設備資訊,對於駭客而言,能減少攻擊先收集相關資料所需的心力,像是圖中找到的SCADA控制器內容,就能得知能開放的連接埠(21至23、53、80、443埠),以及執行的服務,包含FTP、SSH協定等。
回歸管理面,從列管環境內所有物聯網裝置著手
想要防範鎖定物聯網裝置的攻擊,Timothy Snow表示,企業執行需透過3種層次的步驟--列管、監控,以及防禦。首先是從管理面著手,找出企業環境裡所有的物聯網裝置,並且予以網路隔離,避免一旦受到攻擊時,災情便迅速擴散,波及到其他的設備,造成難以收拾的局面。
在保護物聯網裝置之前,Timothy Snow表示要先予以列管,其中包含3項工作,包含了找到設備,然後建檔並檢查是否有弱點,再者,則是依據企業的資安政策,進行網路隔離。
採取網路隔離的做法上,最重要的原則之一,就是將必須相互連線的物聯網裝置,配置在相同的網段中,再者,則是OT的操作員必須知道相關的隔離系統如何操作,進而隨時依據OT網路環境的變化,調整網路隔離設定。
使裝置狀態更容易掌握,進而發現可疑行為與阻擋攻擊
對於所有列管的物聯網裝置,企業也要隨時監控運作的情況,並透過事件記錄和流量的分析,找出攻擊的跡象,識別遭駭的設備,進而攔阻威脅。在此同時,監控裝置行為也能協助企業,預防使用者操作錯誤帶來的問題。
物聯網裝置的狀態透明化,才能使得企業更有效率提供保護,包含必須能夠得知所有裝置的狀態,並檢視所有通訊內容,然後,才能分析得出正常行為為何,一旦出現變化,就發出警示訊息,最終企業能夠快速因應相關攻擊。
監控物聯網裝置狀態的最重要目的,就是得知是否有人存取機敏資訊,這裡Timothy Snow以思科自家的Stealthwatch和ISE說明,Stealthwatch針對流量進行物聯網裝置的網路行為檢測,而ISE則能識別裝置的狀態,並且檢查是否含有漏洞。
資料來源:https://www.ithome.com.tw/news/128426
ise cisco 在 思科台灣 Facebook 的最讚貼文
【思科成功案例:巴勒斯坦Quds銀行全面資安升級】
Quds銀行在巴勒斯坦需要面對頻繁的網路攻擊,同時維持70個駐點與數千台設備的防護,這無疑是個艱鉅挑戰。思科團隊透過思科AMP終端版、思科資安防護傘(Cisco Umbrella)以及思科身分識別服務引擎(ISE),協助其完成全面防禦並提高銀行信譽。
完整閱讀(英)👉
https://goo.gl/5QAMc5
瞭解完整思科資安相關解決方案👉
https://goo.gl/TLrPBF
ise cisco 在 Cisco Identity Services Engine - SecureX orchestration 的推薦與評價
Cisco Identity Services Engine. Note: If your Cisco ISE deployment is on-premises and not accessible from the internet, you will need a SecureX ... ... <看更多>
ise cisco 在 CiscoISE/ciscoisesdk: Cisco Identity Services Engine ... - GitHub 的推薦與評價
Cisco Identity Services Engine Platform SDK for Python - GitHub ... it uses ISE custom URL, username, and password, with ISE API version 3.1.0 # and its API ... ... <看更多>