信息化觀察網(wǎng)

上個(gè)月，工業(yè)互聯(lián)網(wǎng)聯(lián)盟(IIC)發(fā)布了其兩篇論文中的第一篇：《物聯(lián)網(wǎng)安全成熟度模型：描述和預(yù)期用途》，其主要是針對(duì)技術(shù)水平低下的物聯(lián)網(wǎng)利益相關(guān)者的高級(jí)概述。

微軟物聯(lián)網(wǎng)標(biāo)準(zhǔn)首席策略師 Ron Zahavi在接受采訪(fǎng)時(shí)表示，“這第一篇主要是為商務(wù)人員準(zhǔn)備的，旨在幫助他們了解安全所需的東西，并協(xié)助他們將其轉(zhuǎn)化為自己業(yè)務(wù)所需的成熟度等級(jí)。”

此外，第二篇為安全從業(yè)人員提供更多技術(shù)觀點(diǎn)的論文預(yù)計(jì)將在今年夏季發(fā)布。Zahavi表示，“將兩篇文章分開(kāi)發(fā)布，是允許不同的組織和垂直行業(yè)有時(shí)間來(lái)開(kāi)發(fā)可以與第二份技術(shù)文件一起發(fā)布的特定配置文件。”

這種新型物聯(lián)網(wǎng)安全成熟度模型(SMM)的目的，是為所有行業(yè)部門(mén)(無(wú)論個(gè)人安全需求如何)提供單一的物聯(lián)網(wǎng)安全成熟度模型，并將其與所有物聯(lián)網(wǎng)實(shí)施關(guān)聯(lián)起來(lái)，無(wú)論是家庭、辦公室還是工廠。工業(yè)互聯(lián)網(wǎng)聯(lián)盟的指導(dǎo)原則是開(kāi)發(fā)一種適用于所有行業(yè)的新模式——涵蓋流程和技術(shù)，利用NIST和ISA-62443等現(xiàn)有框架而不是試圖去替代它們，簡(jiǎn)單且可擴(kuò)展，并且適合供所有現(xiàn)有的安全評(píng)估公司使用。

它從成熟度建模所需的三個(gè)主要維度開(kāi)始：治理(Governance)、支持(Enablement)和強(qiáng)化(hardening)。每個(gè)維度包含不同的領(lǐng)域。

治理涵蓋戰(zhàn)略、實(shí)踐和流程的運(yùn)作和管理，如威脅建模和風(fēng)險(xiǎn)評(píng)估以及供應(yīng)鏈管理。支持包括傳統(tǒng)安全技術(shù)的操作和管理，如身份和訪(fǎng)問(wèn)管理、數(shù)據(jù)保護(hù)、資產(chǎn)管理以及物理管理等。強(qiáng)化則涵蓋漏洞和補(bǔ)丁管理的運(yùn)營(yíng)、事件響應(yīng)以及審計(jì)等方面。

概括而言，它就是流程、技術(shù)和操作。

然后在兩個(gè)軸線(xiàn)上——“全面性”和“范圍”——對(duì)每個(gè)領(lǐng)域和實(shí)踐進(jìn)行評(píng)估。Zahavi表示，“全面性”是關(guān)于將安全措施應(yīng)用于維度、領(lǐng)域和實(shí)踐的深度和一致性的程度。其可以分為四個(gè)級(jí)別(如果加上“沒(méi)有”的話(huà)就是五個(gè)級(jí)別)：最小的;臨時(shí)性的(安全性往往是對(duì)被宣傳的事件或問(wèn)題的反應(yīng));一致的(使用最佳做法和標(biāo)準(zhǔn)，可能是集中管理解決方案而不是現(xiàn)場(chǎng)解決方案);以及形式化的(包括一個(gè)定義明確的流程來(lái)管理一切，并隨著時(shí)間的推移將其持續(xù)改進(jìn))。

“范圍”被定義為適合行業(yè)或系統(tǒng)需求的程度。主要分為三個(gè)層次：一般(沒(méi)有具體評(píng)估與特定物聯(lián)網(wǎng)部門(mén)的相關(guān)性);行業(yè)特定(根據(jù)行業(yè)特定需求實(shí)施安全錯(cuò)略-例如醫(yī)療保健行業(yè)可能與制造業(yè)不同);以及系統(tǒng)特定(安全實(shí)施與特定組織中特定系統(tǒng)的特定需求和風(fēng)險(xiǎn)保持一致)。Zahavi 評(píng)論道，對(duì)于系統(tǒng)特定的范圍，零售組織可能希望在其PoS傳感器和其供應(yīng)鏈傳感器之間進(jìn)行細(xì)化。

將不同實(shí)踐的“全面性”和“范圍”相結(jié)合，使得組織能夠在實(shí)際和目標(biāo)級(jí)別，以及安全實(shí)施的細(xì)粒度級(jí)別上定義其物聯(lián)網(wǎng)安全成熟度。

成熟的目標(biāo)水平幾乎是風(fēng)險(xiǎn)偏好的體現(xiàn)。這是一個(gè)業(yè)務(wù)功能，而不是安全功能。多年來(lái)，安全團(tuán)隊(duì)一直盲目運(yùn)營(yíng)，以致業(yè)務(wù)和安全之間的溝通很少?，F(xiàn)在，這種情況正在發(fā)生改變。工業(yè)數(shù)字化和運(yùn)營(yíng)技術(shù)(簡(jiǎn)稱(chēng)OT，物聯(lián)網(wǎng)設(shè)備的主要發(fā)源地)與信息技術(shù)的融合，以及隨后發(fā)生的將物聯(lián)網(wǎng)設(shè)備暴露于互聯(lián)網(wǎng)上，正在改變安全故障的底線(xiàn)。

信息的丟失可能會(huì)造成高昂的代價(jià)，并損害品牌信譽(yù)，而其對(duì)制造業(yè)造成的損失更可能是災(zāi)難性的。針對(duì)工控系統(tǒng)攻擊的日益增長(zhǎng)，以及攻擊對(duì)工業(yè)盈利造成的巨大影響已經(jīng)引起了董事會(huì)的注意，董事會(huì)現(xiàn)在要求安全人員對(duì)其實(shí)施的物聯(lián)網(wǎng)安全措施是否能夠保障安全給出解釋。如今，通過(guò)使用工業(yè)互聯(lián)網(wǎng)聯(lián)盟發(fā)布的物聯(lián)網(wǎng)安全成熟度模型可以幫助更好地將安全性與業(yè)務(wù)優(yōu)先級(jí)結(jié)合起來(lái)，并且有助于實(shí)現(xiàn)業(yè)務(wù)和安全的一致性。

工業(yè)互聯(lián)網(wǎng)聯(lián)盟建議稱(chēng)，可以讓業(yè)務(wù)負(fù)責(zé)人指定成熟度目標(biāo)，而安全團(tuán)隊(duì)則進(jìn)行當(dāng)前的成熟度評(píng)估。兩個(gè)級(jí)別之間的差異可以通過(guò)差距分析來(lái)評(píng)估，從中可以制定彌合差距的路線(xiàn)圖。該路線(xiàn)圖的目標(biāo)是讓任何所需的安全性增強(qiáng)，從而進(jìn)行成熟度級(jí)別的重新評(píng)估以及流程的重復(fù)。

完成這一過(guò)程所需的一個(gè)輔助工具是成熟度模板。工業(yè)互聯(lián)網(wǎng)聯(lián)盟希望不同行業(yè)的不同公司開(kāi)發(fā)和發(fā)布可供其他組織使用的高級(jí) IIC SMM 成熟度模型。

IIC采用這種新型物聯(lián)網(wǎng)安全成熟度模型的意圖是增強(qiáng)而不是替代現(xiàn)有的安全框架。

已經(jīng)存在可以接受安全控制機(jī)制的公認(rèn)框架。但是，舉例而言，如果你看一下NIST所采用的控制表和映射表，你會(huì)發(fā)現(xiàn)，它們并沒(méi)有達(dá)到評(píng)估“我為我的行業(yè)做了什么，以及我需要達(dá)到什么級(jí)別”的水平。

他繼續(xù)說(shuō)道，“‘我們正在做什么?’答案是，我們正在為其創(chuàng)造更高層次的成熟度，這一點(diǎn)在所有其他框架中都沒(méi)有得到滿(mǎn)足—我們正在強(qiáng)化現(xiàn)有的安全框架，而不是想要取代它。例如，我們并沒(méi)有建議特定的所需安全控制，而是映射SMM，而且我們將繼續(xù)這樣做(例如，NIST也是IIC成員)，將實(shí)踐和適當(dāng)?shù)某墒於鹊燃?jí)映射到現(xiàn)有的框架和安全控制中。所以，其目的是，如果您擁有零售或醫(yī)療保健或制造業(yè)的配置文件，那么您應(yīng)該能夠定位自己的行業(yè)領(lǐng)域，然后回到那些現(xiàn)有的框架中，以更狹窄的視角來(lái)看待您需要部署哪些機(jī)制和控制以在自己的領(lǐng)域?qū)崿F(xiàn)自己公司的目標(biāo)成熟度。”

IIC物聯(lián)網(wǎng)安全成熟度模型有助于企業(yè)利用現(xiàn)有的安全框架達(dá)到他們自己定義的物聯(lián)網(wǎng)安全成熟目標(biāo)水平。