如何將物聯(lián)網(wǎng)相關(guān)的網(wǎng)絡風險降到最低

物聯(lián)網(wǎng)安全性與IT安全性有所不同，行業(yè)專家就如何將物聯(lián)網(wǎng)相關(guān)網(wǎng)絡風險降到最低提出了建議。

物聯(lián)網(wǎng)不斷擴大的攻擊面為從黑客到激進國家提供了危險的新視野。更為復雜的是，由于缺乏合格的網(wǎng)絡安全人才，圍繞著一些旨在幫助組織保護其網(wǎng)絡多種技術(shù)的炒作令人困惑。

為了幫助組織應對物聯(lián)網(wǎng)安全帶來的挑戰(zhàn)，調(diào)研機構(gòu)德勤公司風險與金融咨詢合作伙伴、物聯(lián)網(wǎng)安全資深人士Sean Peasley以及安全廠商Kudelski Security公司首席執(zhí)行官Andrew Howard為此進行了分析。他們從網(wǎng)絡安全技能的差距、最小化供應鏈風險的挑戰(zhàn)，以及從人工智能到5G的所有內(nèi)容的宣傳中權(quán)衡一切。

1.對網(wǎng)絡安全人才抱有現(xiàn)實期望

眾所周知，缺乏經(jīng)驗豐富的網(wǎng)絡安全專業(yè)人員。但是，如果評估認為幾年內(nèi)或即將出現(xiàn)數(shù)百萬網(wǎng)絡工作者的人員短缺，可能會給試圖保護其網(wǎng)絡、物聯(lián)網(wǎng)設備和IT系統(tǒng)的組織帶來一定程度的絕望。

Howard說：“圍繞網(wǎng)絡安全技能差距似乎一直是人們要談論的與網(wǎng)絡安全有關(guān)的首要話題。但是，有關(guān)該主題的討論有時可能會偏離正軌。盡管網(wǎng)絡人才短缺是現(xiàn)實的，但坦率地說，所有市場都存在短缺?！崩缑绹?、德國、日本、英國這些國家的失業(yè)率不到4%。尋找網(wǎng)絡人才的組織應該尋求在短期內(nèi)可能吸引哪些類型的專業(yè)人員，以幫助他們量化地降低其網(wǎng)絡風險。

Howard說，網(wǎng)絡安全市場對網(wǎng)絡安全人員的需求很大。他解釋說：“我認為，在網(wǎng)絡安全組織結(jié)構(gòu)圖的頂端，并不缺少經(jīng)驗豐富的員工。人們可能會爭辯說缺少合格的人才，但是我看到的是，組織通常難以負擔雇傭首席信息安全官的費用，因為市場需求太大?！?/p>

2.確保應聘者是合格且負擔得起

組織在為網(wǎng)絡員工提供支持時，最好采用非傳統(tǒng)策略，但是面臨的一個陷阱是，在聘請高級職位的員工時需要跳過資格要求。Howard說：“在我與潛在客戶溝通時，很多人表示，其所在組織的網(wǎng)絡安全領(lǐng)導者往往能力不足?！?/p>

是的，網(wǎng)絡安全短缺是導致此問題的一個因素。但是另一個因素是，企業(yè)董事會和領(lǐng)導人（例如首席執(zhí)行官和首席信息官）缺乏對哪些技能對網(wǎng)絡領(lǐng)導者至關(guān)重要的理解。Howard說：“對于所需的專業(yè)知識技能，組織所需要支付的費用常常被低估了?！?/p>

3.跟蹤第三方還不足以確保供應鏈安全

彭博社在去年發(fā)表的一篇題為《大黑客：如何利用微小的芯片滲透到美國公司》的文章引發(fā)了亞馬遜、蘋果和Supermicro的爭議，他們都對這篇報道的真實性提出了質(zhì)疑。雖然這篇文章的真實性仍然存在爭議，但它確實引起了人們對供應鏈攻擊威脅的普遍關(guān)注。一般來說，德勤公司建議組織仔細考慮第三方軟件、硬件和服務的潛在安全影響。

一方面，越來越多的事件表明，威脅行為者正在尋找供應鏈中的受害者。例如，歐洲空中客車公司（Airbus）已成為針對其供應商協(xié)同攻擊的一部分。今年早些時候，《連線》報道了一場針對至少6家企業(yè)的供應鏈攻擊。

Peasley表示，大型企業(yè)有時可能有數(shù)千個第三方供應商，并且可能還有成千上萬的第四方和第五方，盡管規(guī)模較小的企業(yè)往往具有較小的供應商基礎(chǔ)，但對供應鏈的關(guān)注同樣重要。他說，“無論是供應商將子組件放入組織可能要構(gòu)建的產(chǎn)品中，還是它是組織使用的軟件產(chǎn)品，都需要考慮其使用的數(shù)據(jù)類型的所有不同網(wǎng)絡方面，以及可能嵌入到組織的環(huán)境或產(chǎn)品中的事物類型?！?/p>

4.整合IT和OT團隊對于網(wǎng)絡安全也至關(guān)重要

在許多工業(yè)和企業(yè)物聯(lián)網(wǎng)環(huán)境中，IT人員和運營技術(shù)（OT）人員的整合是一個長期的主題。在網(wǎng)絡安全方面，由于傳統(tǒng)上網(wǎng)絡安全是人們關(guān)注的重點，因此將IT和運營技術(shù)（OT）整合的前景可能令人望而生畏。傳統(tǒng)上，保護運營技術(shù)（OT）環(huán)境（如生產(chǎn)工廠或煉油廠）意味著不讓未經(jīng)授權(quán)的人員進入限制區(qū)域?，F(xiàn)在，它包括防止黑客干預可能導致系統(tǒng)災難的前景。Howard說：“運營技術(shù)（OT）在網(wǎng)絡安全方面現(xiàn)在很受歡迎?！?/p>

同樣，在工業(yè)環(huán)境中工作的IT安全專業(yè)人員應該明智地研究運營技術(shù)環(huán)境中固有的傳統(tǒng)安全程序。許多工業(yè)組織已經(jīng)制定了數(shù)十年的安全計劃。Peasley說，“職責范圍擴展到運營技術(shù)的傳統(tǒng)IT安全專業(yè)人員需要對安全性有類似的看法，同時仔細考慮精煉廠或生產(chǎn)工廠物聯(lián)網(wǎng)設備的潛在安全后果。”

5.安全標準可以通過設計思路實現(xiàn)安全

如今，“設計安全”這個詞經(jīng)常被人提起，但要量化其含義并不總是那么容易。Peasley建議尋找最佳實踐的標準和法規(guī)。他說：“例如NIST、IEEE、ISA/IEC 62443一些標準，這些標準包括將安全性設計為工業(yè)產(chǎn)品以及測試和認證這些產(chǎn)品的有用信息，并提出有效的市場網(wǎng)絡安全戰(zhàn)略。”他表示，物聯(lián)網(wǎng)安全涉及“與企業(yè)不同的思維方式”，以及保護“傳統(tǒng)網(wǎng)絡設備和基礎(chǔ)設施設備”的前景。例如，工業(yè)或醫(yī)療環(huán)境中的連接設備可能需要全天候正常運行。Peasley說：“與企業(yè)環(huán)境相比，運營技術(shù)環(huán)境中的約束條件往往不同。在這種情況下，標準可以幫助正式制定一個全面的安全戰(zhàn)略，規(guī)定如何培訓從開發(fā)人員到工程師的工作人員，同時定期評估組織的網(wǎng)絡安全狀況?！?/p>

6.采用實用主義減少對新技術(shù)進行炒作

從人工智能到5G的引入都會對網(wǎng)絡安全產(chǎn)生巨大影響，這一點很難避免一些宣傳和炒作。

Howard對人工智能一詞的廣泛使用表示懷疑。他說：“我對人工智能應用的看法是，現(xiàn)在有太多的炒作行為。我為此感到困惑。這只是能夠區(qū)分我認為的人工智能，即基于數(shù)學模型而非智能軟件做出獨立決策的機器?！?/p>

話雖如此，部署機器學習來檢測可能表明安全漏洞的異常仍然具有價值。在更廣泛的IT領(lǐng)域中，“IT運營的人工智能（AIOps）”術(shù)語已成為主流。德勤公司建議采用該策略，并采用一種涵蓋開發(fā)和運營（稱為DevSecOps）安全的設計方法來統(tǒng)一使用該策略。

關(guān)于正在興起的5G可能對物聯(lián)網(wǎng)安全和網(wǎng)絡安全產(chǎn)生的總體影響，Howard建議研究前幾代蜂窩通信技術(shù)的跡象，以獲得對未來可能的跡象。他說：“我猜測5G技術(shù)將遵循人們在3G、4G/LTE、LTE-M等領(lǐng)域看到的”典型脆弱性曲線。換句話說，一旦標準在現(xiàn)實世界中生效，入站攻擊就會增加。

一旦高帶寬的5G變得司空見慣，它可能會導致人們急于擴展許多類型的物聯(lián)網(wǎng)設備的無線功能。Howard說：“組織將會連接到許多本不想連接的設備上。”

7.邊緣計算并不能完全保證安全

邊緣計算的核心營銷策略之一是它在網(wǎng)絡安全方面的所謂好處。這一前提下的基本邏輯是，在盡可能靠近生成數(shù)據(jù)的位置推出計算時，會使網(wǎng)絡攻擊者的目標更加困難。雖然這在一定程度上可能是正確的，但事實上有一個雙刃劍的因素。Howard說：“通常，在邊緣計算機只是沒有安全控制，組織可能有一個更集中的架構(gòu)。而當有人說：‘我要在邊緣做所有的事’時，我對此感到很擔心?！?/p>

Gartner公司分析師認為，邊緣計算并不代表著一種偏離集中計算模型的鐘擺。與其相反，他們認為這是一種補充。從安全角度來看，常見的混合邊緣云模型的前景增強了在發(fā)送到云平臺或核心數(shù)據(jù)中心的元數(shù)據(jù)中使用安全匿名控制的重要性。Howard說：“當人們談到‘邊緣計算’時，基本上是從大數(shù)據(jù)集中提取功能，然后將這些功能發(fā)送回集中的數(shù)據(jù)存儲?！?/p>

無論如何，Gartner公司強調(diào)說，“云計算是許多用例的默認模型。云中的數(shù)據(jù)存儲是如此便宜，以至于除非用戶進行大量查詢，否則存儲在云中可能是一件合理的事情。”

8.網(wǎng)絡安全中的自動化也是一種威脅

或許有人圍繞人工智能的話題可能會大肆宣傳和炒作，但實際上，無論是在進攻還是防御方面，網(wǎng)絡安全中的自動化程度都在不斷增長。網(wǎng)絡釣魚并非唯一與物聯(lián)網(wǎng)有關(guān)的例子，但它說明了這一原理。著名的運營技術(shù)（OT）網(wǎng)絡安全攻擊事件（例如2015年由網(wǎng)絡引發(fā)的烏克蘭電網(wǎng)中斷事件）源自常規(guī)的網(wǎng)絡釣魚攻擊。鑒于暗網(wǎng)的軟件工具的可用性，可以幫助網(wǎng)絡攻擊者簡化其活動并對其目標進行研究。

Howard認為有針對性的網(wǎng)絡釣魚活動（稱為魚叉式網(wǎng)絡釣魚活動）隨著時間的推移將會越來越嚴重。他說：“我們從客戶那里聽到了關(guān)于這一事實的信息，魚叉式釣魚活動日趨嚴重如今變得更加可信。”