信息化觀察網(wǎng)

企業(yè)組織必須采取一種“Security by Design”(安全設(shè)計(jì)方法)，以最佳姿態(tài)應(yīng)對(duì)物聯(lián)網(wǎng)所帶來的威脅。

毋庸置疑，物聯(lián)網(wǎng)(IoT)和工業(yè)物聯(lián)網(wǎng)(IIoT)的興起為企業(yè)組織帶來了新的發(fā)展機(jī)遇，但同時(shí)，它們也為企業(yè)組織帶來了巨大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)以及不斷擴(kuò)大的攻擊面。然而，一項(xiàng)針對(duì)企業(yè)組織對(duì)其物聯(lián)網(wǎng)設(shè)備的風(fēng)險(xiǎn)暴露情況進(jìn)行的調(diào)查發(fā)現(xiàn)，許多公司仍未意識(shí)到使用連接設(shè)備時(shí)所面臨的風(fēng)險(xiǎn)范圍，并且對(duì)這些威脅的管理表現(xiàn)出非常滯后的狀態(tài)。

物聯(lián)網(wǎng)安全

安全專家建議，企業(yè)組織應(yīng)該采取一種“Security by Design”(安全設(shè)計(jì)方法)來設(shè)計(jì)和部署物聯(lián)網(wǎng)(IoT)和工業(yè)物聯(lián)網(wǎng)(IIoT)產(chǎn)品。這種方法涉及默認(rèn)將網(wǎng)絡(luò)安全實(shí)踐納入產(chǎn)品的設(shè)計(jì)以及實(shí)施環(huán)境中。

Security by Design(安全設(shè)計(jì))通過在構(gòu)建產(chǎn)品的首個(gè)環(huán)節(jié)解決安全問題，達(dá)到節(jié)省時(shí)間并降低成本的效果。在一項(xiàng)針對(duì)各行業(yè)和職位的4,200多名專業(yè)人士的調(diào)查中，近一半(48%)的受訪者表示，在開發(fā)或部署聯(lián)網(wǎng)產(chǎn)品或設(shè)備時(shí)，必須將DevSecOps嵌入到整個(gè)生命周期中，而且團(tuán)隊(duì)在整個(gè)部署過程中都需要進(jìn)行法律、采購以及合規(guī)性方面的工作。

十大物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)

以下是企業(yè)組織必須解決的當(dāng)前物聯(lián)網(wǎng)環(huán)境所產(chǎn)生的十大安全風(fēng)險(xiǎn)：

1. 沒有安全和隱私計(jì)劃;

2. 缺乏所有權(quán)/管理權(quán)來推動(dòng)安全和隱私;

3. 安全性未納入產(chǎn)品和生態(tài)系統(tǒng)的設(shè)計(jì)中;

4. 對(duì)工程師和架構(gòu)師的安全意識(shí)和培訓(xùn)不足;

5. 缺乏IoT / IIoT以及產(chǎn)品安全和隱私資源;

6. 對(duì)用于檢測(cè)安全事件的設(shè)備和系統(tǒng)監(jiān)控不足;

7. 缺乏市場(chǎng)后監(jiān)管/實(shí)施安全和隱私風(fēng)險(xiǎn)管理;

8. 缺乏產(chǎn)品可見性或沒有完整的產(chǎn)品庫存;

9. 識(shí)別和處理現(xiàn)場(chǎng)和遺留產(chǎn)品的風(fēng)險(xiǎn);

10. 沒有經(jīng)驗(yàn)/不成熟的事件響應(yīng)過程。

德勤會(huì)計(jì)師事務(wù)所(Deloitte&Touche LLP)網(wǎng)絡(luò)風(fēng)險(xiǎn)服務(wù)的物聯(lián)網(wǎng)安全負(fù)責(zé)人Sean Peasley在一份新聞稿中表示：

“安全性必須嵌入到運(yùn)營計(jì)劃的DNA中，以敦促企業(yè)創(chuàng)造出出色且安全的產(chǎn)品。如今，各種各樣的產(chǎn)品正在成為網(wǎng)絡(luò)的一部分：從烤箱到即時(shí)炊具，從3D打印機(jī)到汽車。企業(yè)組織必須考慮實(shí)際存在的問題，并將這些新挑戰(zhàn)視為優(yōu)先處理事項(xiàng)。”

如何創(chuàng)建物聯(lián)網(wǎng)Security by Design(安全設(shè)計(jì))

德勤公司公布的調(diào)查結(jié)果發(fā)現(xiàn)，許多企業(yè)(41%)表示，他們正在尋求行業(yè)和專業(yè)團(tuán)體的指導(dǎo)，以便在其業(yè)務(wù)中創(chuàng)建安全設(shè)計(jì)。另有28%的受訪者表示，他們期望監(jiān)管實(shí)體和機(jī)構(gòu)能夠首先制定標(biāo)準(zhǔn)，而22%的受訪者表示，他們已經(jīng)在企業(yè)內(nèi)部開展了自己的安全性做法。

德勤分析師表示，企業(yè)組織應(yīng)該首先尋求了解同行的最佳實(shí)踐和標(biāo)準(zhǔn)，然后再向監(jiān)管機(jī)構(gòu)尋求指導(dǎo)。

大約30%的受訪者表示，他們沒有使用過一套明確的產(chǎn)品網(wǎng)絡(luò)安全要求，而只有28%的受訪者表示，他們使用了行業(yè)定義的框架，41%的受訪者表示，他們使用的是客戶的框架，這表明行業(yè)在采用網(wǎng)絡(luò)安全標(biāo)準(zhǔn)方面還有漫長(zhǎng)的道路要走。

安全專家認(rèn)為，對(duì)于尋求將設(shè)計(jì)安全性實(shí)施到物聯(lián)網(wǎng)產(chǎn)品中的企業(yè)來說，需要考慮如下五個(gè)因素：

1. 了解產(chǎn)品安全性的當(dāng)前狀態(tài)并制定網(wǎng)絡(luò)戰(zhàn)略

無論是設(shè)計(jì)聯(lián)網(wǎng)產(chǎn)品還是購買此類產(chǎn)品在內(nèi)部實(shí)施，都必須要評(píng)估產(chǎn)品(包括其生產(chǎn)的數(shù)據(jù))的保護(hù)方式，并制定網(wǎng)絡(luò)戰(zhàn)略以推動(dòng)改進(jìn)。

2. 建立安全設(shè)計(jì)實(shí)踐

通過需求、風(fēng)險(xiǎn)評(píng)估、威脅建模和安全測(cè)試，將設(shè)計(jì)安全性集成到產(chǎn)品本身的設(shè)計(jì)或生態(tài)系統(tǒng)體系結(jié)構(gòu)的設(shè)計(jì)之中。

3. 從頂層設(shè)定基調(diào)

確保合適的人員參與并擁有流程的所有權(quán)——從領(lǐng)導(dǎo)到相關(guān)的產(chǎn)品安全主題專家再到產(chǎn)品開發(fā)設(shè)計(jì)團(tuán)隊(duì)。

4. 擁有一支專業(yè)的團(tuán)隊(duì)，并為他們提供充足的資源

不要指望企業(yè)安全團(tuán)隊(duì)在缺乏任務(wù)資源的情況下能夠順利完成任務(wù)。建立一支專業(yè)的團(tuán)隊(duì)，該團(tuán)隊(duì)需要具備基于產(chǎn)品的經(jīng)驗(yàn)，并根據(jù)需要為其提供培訓(xùn)，以幫助他們積累知識(shí)。

5. 利用行業(yè)可用資源

與其為您的設(shè)備供應(yīng)商開發(fā)和提供獨(dú)特的調(diào)查問卷，還不如使用公開的行業(yè)資源來得方便直接。

威脅不斷加劇，你準(zhǔn)備好了嗎?

2020 年，隨著 5G 部署持續(xù)推出，攻擊也將接踵而至。無論何時(shí)，互聯(lián)的東西越多，安全問題就越多。而讓情況變得復(fù)雜的是，很多工業(yè)環(huán)境都部署著過時(shí)的遺留設(shè)備。惡意黑客將開始針對(duì)這些環(huán)境，帶來嚴(yán)重后果，比如對(duì)配置的非授權(quán)修改——可致工業(yè)過程未按既定方式運(yùn)轉(zhuǎn)，因而造成工業(yè)事故、斷電，甚至環(huán)境災(zāi)難。

沒有哪個(gè)產(chǎn)品設(shè)計(jì)者會(huì)想創(chuàng)建出毫無安全性可言的聯(lián)網(wǎng)產(chǎn)品。幸運(yùn)的是，鑒于目前物聯(lián)網(wǎng)安全所獲得的關(guān)注度，情況正在不斷改善。“Security by Design”(安全設(shè)計(jì)方法)也逐漸被行業(yè)認(rèn)同并付諸實(shí)踐中。