互聯性和便利性是許多人現在認為對日常生活至關重要的兩件事。盡管世界上很多人都期待物聯網 (IoT) 的便利性，但他們通常很少考慮物聯網底層傳輸網絡的安全性。但今年有138 億活躍的物聯網設備連接，并且在不久的將來有望成倍增長，物聯網網絡安全至關重要

預計到 2025 年，物聯網設備將超過 250 億臺，公司將謹慎地將最小特權原則應用于其 IT 人員。（來源：freepik）

根據代表全球移動網絡運營商的組織 GSM 協會 (GSMA) 的說法，物聯網設備制造商仍然未能充分考慮安全性進行設計和構建。

更糟糕的是，GSMA 建議大多數設備制造商對如何保護他們的設備沒有足夠的了解。不安全的設備使黑客可以輕松訪問電信網絡，從而為網絡攻擊帶來重大風險。隨著物聯網隨著網絡的擴展而轉向使用 5G，不安全的設備威脅著 5G 網絡的安全。

物聯網邊緣缺乏安全性給通信服務提供商 (CSP)帶來了巨大的安全負擔，包括電信網絡提供商、有線電視服務和云通信提供商。隨著越來越多的傳統電信公司以外的參與者通過 5G 網絡參與物聯網并與物聯網設備互動，攻擊面正在顯著擴大。因此，CSP 必須采取額外措施來確保其系統的安全性。

CSP 不斷演變的安全問題

GSMA 在其對安全形勢的年度審查中確定了移動通信行業的八個主要威脅和漏洞領域：

設備和物聯網

云安全

保護 5G

信令和互連

供應鏈

軟件和虛擬化

網絡和運營安全

安全技能短缺

設備和物聯網安全一直是 GSMA 關注的問題，尤其是在聯網設備的數量繼續遠遠超過世界人口的情況下，預計到 2025 年將有250 億臺聯網的物聯網設備。設備技術堆棧的復雜性隨之增加。

GSMA 將企業網絡和電信網絡之間的連接視為一個重要的潛在攻擊媒介，尤其是在公司利用 5G 部署的情況下。多年來，行業專業人士和學者一直在調查 5G 的安全風險，美國政府也是如此。但隨著 5G 的普及，攻擊面的擴大仍然存在擔憂。GSMA 建議 5G CSP 應實施一系列安全協議。

保護 CSP 的推薦措施之一是特權訪問管理。正確實施的 PAM 通過限制黑客可以嘗試利用的特權和權限的數量來減少攻擊面。而且 PAM 對 CSP 操作的影響最小，因為其目的是刪除人員和流程完成工作所不需要的權限和權限。

PAM 與 IAM

許多讀者可能熟悉 IAM（身份和訪問管理），但不太熟悉 PAM。雖然它們有共同的目標，但它們的范圍和應用卻不同。

考慮一個金字塔，其中有限數量的管理用戶位于頂點，一般用戶構成基礎。在其各種迭代中，IAM 涵蓋了整個金字塔。但是，許多 IAM 應用程序專注于基礎用戶的權限，即那些經常訪問系統但幾乎沒有或沒有管理權限的用戶。另一方面，PAM 專注于高層，即那些因為他們的組織角色而成為最理想目標的人。

請注意，當我們在這里提到用戶時，它與說人類不同。IAM 和 PAM 控制也適用于系統內的非人類身份，例如，可能有自己的身份的流程。

配置權限和訪問權限

在為組織的用戶分配權利和權限時，IT 人員可以采用多種方法。首先，也是最糟糕的，是對公司系統和數據存儲的廣泛訪問——實際上根本沒有控制權。不用說，這種方法是高風險的，會給組織帶來很大的風險。但許多組織確實允許用戶獲得比他們需要的更多的訪問權限，以避免無意中擾亂日常活動，擴大公司的攻擊面。

謹慎的公司采用最小特權、需要知道的訪問或兩者結合的原則。最小權限處理用戶如何在系統中工作；Need-to-know 解決了他們可以在系統中訪問的內容。

在最小權限原則下，用戶只獲得他們工作所必需的那些權利和許可——不多也不少。通過阻止用戶獲得他們從未使用過的區域的權限，組織可以消除不必要的漏洞，而不會對用戶的性能產生負面影響。

需要知道適用于組織的數據，限制訪問與用戶執行其工作職能直接相關和必要的數據。

缺乏最低權限或需要知道的控制只是許多組織中常見的與身份相關的一些漏洞。許多組織仍然擁有共享帳戶或密碼，這削弱了審計活動和確保遵守公司安全策略的能力。公司還經常擁有舊的、未使用的帳戶，通常具有大量特權，理想情況下這些帳戶早就被清除了。許多公司仍然依賴手動或分散配置和維護用戶憑證。

為什么（以及如何）CSP 應該使用 PAM

用戶擁有的每一項特權和訪問權限都為網絡犯罪分子創造了獨特的機會。因此，限制這些特權和訪問權限符合每個 CSP 的最佳利益。這樣做可以限制潛在的攻擊媒介，并在黑客成功盜用特定用戶的身份時將可能造成的損害降至最低。用戶擁有的權限越少，成功的攻擊者就越少。

限制權限還可以限制可能損壞組織系統的攻擊類型。例如，某些類型的惡意軟件需要更高的權限才能有效地安裝和運行。如果黑客試圖通過非特權用戶帳戶插入惡意軟件，他們就會碰壁。

以下是 CSP 應遵循的一些最佳實踐。

實施權限管理策略：鑒于沒有單一的、普遍適用的物聯網安全標準，CSPS 需要嚴格定義和監控的策略，通過消除任何偏差機會來確保合規性。策略應定義誰控制權限和權限的供應和管理，供應如何發生，以及必要時重新供應或取消供應的時間表。此外，策略應解決密碼安全問題，包括密碼強度、多因素身份驗證的使用和密碼到期。

集中 PAM 和 IAM：CSP 應該有一個集中的系統，用于權限和訪問權限的配置、維護和取消配置。建立具有高權限的帳戶清單可防止組織將未使用的帳戶漏掉。

確保最低權限意味著最低權限：雖然如果用戶必須聯系幫助臺來執行某些任務，他們可能會感到沮喪，但這并不是為他們提供比他們需要的更多權限的理由。大多數公司邊緣或端點用戶不需要具有管理權限或訪問根目錄。即使是特權用戶也不需要廣泛的訪問權限。限制對執行工作絕對必要的訪問。

通過分段增加安全性：分段系統和網絡有助于防止黑客在成功進入公司網絡時進行橫向攻擊。在可能的情況下，使用分段之間的零信任策略來加強分段。

實施密碼安全最佳實踐：密碼衛生不良仍然是許多組織的一個重大漏洞。通過培訓員工了解強密碼、多因素身份驗證和密碼過期帶來的輕微不便，可以保護公司免受泄露的潛在破壞性后果，從而建立安全文化。

安全 CSP 是安全 IoT 的支柱

如果沒有安全的 CSP 網絡，物聯網就是網絡犯罪分子的游樂場。在擔心數以百萬計的邊緣設備之前，CSP 安全專家應該向內看，并盡可能地保護他們的內部系統。應用最小特權原則和特權訪問管理系統是有用的第一步。

審核編輯 黃昊宇