企业组织必须采取一种“Security by Design”(安全设计方法),以最佳姿态应对物联网所带来的威胁。
毋庸置疑,物联网(IoT)和工业物联网(IIoT)的兴起为企业组织带来了新的发展机遇,但同时,它们也为企业组织带来了巨大的网络安全风险以及不断扩大的攻击面。然而,一项针对企业组织对其物联网设备的风险暴露情况进行的调查发现,许多公司仍未意识到使用连接设备时所面临的风险范围,并且对这些威胁的管理表现出非常滞后的状态。
安全专家建议,企业组织应该采取一种“Security by Design”(安全设计方法)来设计和部署物联网(IoT)和工业物联网(IIoT)产品。这种方法涉及默认将网络安全实践纳入产品的设计以及实施环境中。
Security by Design(安全设计)通过在构建产品的首个环节解决安全问题,达到节省时间并降低成本的效果。在一项针对各行业和职位的4,200多名专业人士的调查中,近一半(48%)的受访者表示,在开发或部署联网产品或设备时,必须将DevSecOps嵌入到整个生命周期中,而且团队在整个部署过程中都需要进行法律、采购以及合规性方面的工作。
十大物联网安全风险
以下是企业组织必须解决的当前物联网环境所产生的十大安全风险:
1. 没有安全和隐私计划;
2. 缺乏所有权/管理权来推动安全和隐私;
3. 安全性未纳入产品和生态系统的设计中;
4. 对工程师和架构师的安全意识和培训不足;
5. 缺乏IoT / IIoT以及产品安全和隐私资源;
6. 对用于检测安全事件的设备和系统监控不足;
7. 缺乏市场后监管/实施安全和隐私风险管理;
8. 缺乏产品可见性或没有完整的产品库存;
9. 识别和处理现场和遗留产品的风险;
10. 没有经验/不成熟的事件响应过程。
德勤会计师事务所(Deloitte&Touche LLP)网络风险服务的物联网安全负责人Sean Peasley在一份新闻稿中表示:
| “安全性必须嵌入到运营计划的DNA中,以敦促企业创造出出色且安全的产品。如今,各种各样的产品正在成为网络的一部分:从烤箱到即时炊具,从3D打印机到汽车。企业组织必须考虑实际存在的问题,并将这些新挑战视为优先处理事项。” |
如何创建物联网Security by Design(安全设计)
德勤公司公布的调查结果发现,许多企业(41%)表示,他们正在寻求行业和专业团体的指导,以便在其业务中创建安全设计。另有28%的受访者表示,他们期望监管实体和机构能够首先制定标准,而22%的受访者表示,他们已经在企业内部开展了自己的安全性做法。
德勤分析师表示,企业组织应该首先寻求了解同行的最佳实践和标准,然后再向监管机构寻求指导。
大约30%的受访者表示,他们没有使用过一套明确的产品网络安全要求,而只有28%的受访者表示,他们使用了行业定义的框架,41%的受访者表示,他们使用的是客户的框架,这表明行业在采用网络安全标准方面还有漫长的道路要走。
安全专家认为,对于寻求将设计安全性实施到物联网产品中的企业来说,需要考虑如下五个因素:
1. 了解产品安全性的当前状态并制定网络战略
无论是设计联网产品还是购买此类产品在内部实施,都必须要评估产品(包括其生产的数据)的保护方式,并制定网络战略以推动改进。
2. 建立安全设计实践
通过需求、风险评估、威胁建模和安全测试,将设计安全性集成到产品本身的设计或生态系统体系结构的设计之中。
3. 从顶层设定基调
确保合适的人员参与并拥有流程的所有权——从领导到相关的产品安全主题专家再到产品开发设计团队。
4. 拥有一支专业的团队,并为他们提供充足的资源
不要指望企业安全团队在缺乏任务资源的情况下能够顺利完成任务。建立一支专业的团队,该团队需要具备基于产品的经验,并根据需要为其提供培训,以帮助他们积累知识。
5. 利用行业可用资源
与其为您的设备供应商开发和提供独特的调查问卷,还不如使用公开的行业资源来得方便直接。
威胁不断加剧,你准备好了吗?
2020 年,随着 5G 部署持续推出,攻击也将接踵而至。无论何时,互联的东西越多,安全问题就越多。而让情况变得复杂的是,很多工业环境都部署着过时的遗留设备。恶意黑客将开始针对这些环境,带来严重后果,比如对配置的非授权修改——可致工业过程未按既定方式运转,因而造成工业事故、断电,甚至环境灾难。
没有哪个产品设计者会想创建出毫无安全性可言的联网产品。幸运的是,鉴于目前物联网安全所获得的关注度,情况正在不断改善。“Security by Design”(安全设计方法)也逐渐被行业认同并付诸实践中。
