Kemampuan keamanan IoT - AWS Panduan Preskriptif
Panduan penilaian risikoDirekomendasikan Layanan AWS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kemampuan keamanan IoT

Bagian ini membahas akses aman, penggunaan, dan rekomendasi implementasi untuk kemampuan keamanan IoT yang dibahas di bagian sebelumnya.

penting

Gunakan kerangka kerja umum seperti MITRE ATT&CK atau ISA/IEC 62443 untuk melakukan penilaian risiko keamanan siber dan menggunakan output untuk menginformasikan adopsi kemampuan yang relevan. Pilihan Anda tergantung pada keakraban organisasi Anda dengan kerangka kerja ini dan harapan auditor peraturan atau kepatuhan Anda.

Panduan penilaian risiko

Baik Anda menggunakan perangkat IoT konsumen, beban kerja IoT industri, atau teknologi operasional, Anda harus terlebih dahulu mengevaluasi risiko dan ancaman yang terkait dengan penerapan Anda. Misalnya, satu ancaman umum terhadap perangkat IoT yang tercantum dalam kerangka MITRE ATT&CK adalah Network Denial of Service (T1498). Definisi serangan denial-of-service (DoS) terhadap perangkat IoT adalah melarang status atau perintah dan kontrol komunikasi ke dan dari perangkat IoT dan pengontrolnya. Dalam kasus perangkat IoT konsumen, seperti bohlam pintar, ketidakmampuan untuk mengkomunikasikan status atau menerima pembaruan dari lokasi kontrol pusat dapat menimbulkan masalah tetapi kemungkinan tidak akan memiliki konsekuensi kritis. Namun, dalam sistem OT dan IIo T yang mengelola fasilitas pengolahan air, utilitas, atau pabrik pintar, kehilangan kemampuan untuk menerima perintah untuk membuka atau menutup katup kunci dapat menciptakan dampak yang lebih besar pada operasi, keselamatan, dan lingkungan. Untuk alasan ini, pertimbangkan dampak dari berbagai ancaman umum, pahami bagaimana mereka berlaku untuk kasus penggunaan Anda, dan tentukan cara untuk menguranginya. Rekomendasi utama meliputi:

  • Mengidentifikasi, mengelola, dan melacak kesenjangan dan kerentanan. Buat dan pertahankan model up-to-date ancaman yang dapat Anda pantau sistem Anda.

  • Pertahankan inventaris aset dari semua aset yang terhubung dan arsitektur up-to-date jaringan.

  • Segmentasikan sistem Anda berdasarkan penilaian risiko mereka. Beberapa sistem IoT dan TI mungkin memiliki risiko yang sama. Dalam skenario ini, gunakan model zonasi yang telah ditentukan dengan kontrol yang sesuai di antara mereka.

  • Ikuti pendekatan segmentasi mikro untuk mengisolasi dampak suatu peristiwa.

  • Gunakan mekanisme keamanan yang tepat untuk mengontrol arus informasi antar segmen jaringan.

  • Memahami dampak potensial dari dampak tidak langsung pada saluran komunikasi. Misalnya, jika saluran komunikasi dibagi dengan beberapa beban kerja lain, peristiwa DoS pada beban kerja lainnya dapat memengaruhi komunikasi jaringan beban kerja IIo T atau OT.

  • Secara teratur mengidentifikasi dan meninjau peluang meminimalkan acara keamanan saat solusi Anda berkembang.

Dalam lingkungan OT atau IIo T, pertimbangkan untuk mempartisi sistem yang sedang dipertimbangkan (SuC) ke dalam zona dan saluran terpisah sesuai dengan ISA/IEC 62443-2, Penilaian Risiko Keamanan untuk Desain Sistem. Tujuannya adalah untuk mengidentifikasi aset yang memiliki karakteristik keamanan yang sama untuk menetapkan serangkaian persyaratan keamanan umum yang mengurangi risiko keamanan siber. Mempartisi SuC ke dalam zona dan saluran juga dapat membantu mengurangi risiko secara keseluruhan dengan membatasi dampak insiden cyber. Diagram zona dan saluran dapat membantu dalam penilaian risiko keamanan siber OT atau IIo T yang terperinci dan membantu mengidentifikasi ancaman dan kerentanan, menentukan konsekuensi dan risiko, dan memberikan remediasi atau tindakan pengendalian untuk melindungi aset dari peristiwa dunia maya.

Direkomendasikan Layanan AWS

Saat Anda membangun lingkungan AWS Cloud, gunakan layanan dasar seperti Amazon Virtual Private Cloud (Amazon VPC), grup keamanan VPC, dan daftar kontrol akses jaringan ( ACLsjaringan) untuk menerapkan segmentasi mikro. Kami menyarankan Anda menggunakan beberapa Akun AWS untuk membantu mengisolasi aplikasi IoT IIo, T, dan OT, data, dan proses bisnis di seluruh lingkungan Anda, dan AWS Organizations digunakan untuk pengelolaan yang lebih baik dan wawasan terpusat.

Untuk informasi selengkapnya, lihat Pilar Keamanan Kerangka AWS Well-Architected dan AWS whitepaper Mengatur AWS Lingkungan Anda Menggunakan Beberapa Akun.