當(dāng)前位置:首頁 > 物聯(lián)網(wǎng) > 物聯(lián)網(wǎng)技術(shù)文庫
[導(dǎo)讀] 物聯(lián)網(wǎng)安全性與IT安全性有所不同,行業(yè)專家就如何將物聯(lián)網(wǎng)相關(guān)網(wǎng)絡(luò)風(fēng)險(xiǎn)降到最低提出了建議。 物聯(lián)網(wǎng)不斷擴(kuò)大的攻擊面為從黑客到激進(jìn)國家提供了危險(xiǎn)的新視野。更為復(fù)雜的是,由于缺乏合格的網(wǎng)絡(luò)安全

物聯(lián)網(wǎng)安全性與IT安全性有所不同,行業(yè)專家就如何將物聯(lián)網(wǎng)相關(guān)網(wǎng)絡(luò)風(fēng)險(xiǎn)降到最低提出了建議。

物聯(lián)網(wǎng)不斷擴(kuò)大的攻擊面為從黑客到激進(jìn)國家提供了危險(xiǎn)的新視野。更為復(fù)雜的是,由于缺乏合格的網(wǎng)絡(luò)安全人才,圍繞著一些旨在幫助組織保護(hù)其網(wǎng)絡(luò)多種技術(shù)的炒作令人困惑。

為了幫助組織應(yīng)對物聯(lián)網(wǎng)安全帶來的挑戰(zhàn),調(diào)研機(jī)構(gòu)德勤公司風(fēng)險(xiǎn)與金融咨詢合作伙伴、物聯(lián)網(wǎng)安全資深人士Sean Peasley以及安全廠商Kudelski Security公司首席執(zhí)行官Andrew Howard為此進(jìn)行了分析。他們從網(wǎng)絡(luò)安全技能的差距、最小化供應(yīng)鏈風(fēng)險(xiǎn)的挑戰(zhàn),以及從人工智能到5G的所有內(nèi)容的宣傳中權(quán)衡一切。

1.對網(wǎng)絡(luò)安全人才抱有現(xiàn)實(shí)期望

眾所周知,缺乏經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)安全專業(yè)人員。但是,如果評估認(rèn)為幾年內(nèi)或即將出現(xiàn)數(shù)百萬網(wǎng)絡(luò)工作者的人員短缺,可能會給試圖保護(hù)其網(wǎng)絡(luò)、物聯(lián)網(wǎng)設(shè)備和IT系統(tǒng)的組織帶來一定程度的絕望。

Howard說:“圍繞網(wǎng)絡(luò)安全技能差距似乎一直是人們要談?wù)摰呐c網(wǎng)絡(luò)安全有關(guān)的首要話題。但是,有關(guān)該主題的討論有時(shí)可能會偏離正軌。盡管網(wǎng)絡(luò)人才短缺是現(xiàn)實(shí)的,但坦率地說,所有市場都存在短缺?!崩缑绹?、德國、日本、英國這些國家的失業(yè)率不到4%。尋找網(wǎng)絡(luò)人才的組織應(yīng)該尋求在短期內(nèi)可能吸引哪些類型的專業(yè)人員,以幫助他們量化地降低其網(wǎng)絡(luò)風(fēng)險(xiǎn)。

Howard說,網(wǎng)絡(luò)安全市場對網(wǎng)絡(luò)安全人員的需求很大。他解釋說:“我認(rèn)為,在網(wǎng)絡(luò)安全組織結(jié)構(gòu)圖的頂端,并不缺少經(jīng)驗(yàn)豐富的員工。人們可能會爭辯說缺少合格的人才,但是我看到的是,組織通常難以負(fù)擔(dān)雇傭首席信息安全官的費(fèi)用,因?yàn)槭袌鲂枨筇蟆!?/p>

2.確保應(yīng)聘者是合格且負(fù)擔(dān)得起

組織在為網(wǎng)絡(luò)員工提供支持時(shí),最好采用非傳統(tǒng)策略,但是面臨的一個陷阱是,在聘請高級職位的員工時(shí)需要跳過資格要求。Howard說:“在我與潛在客戶溝通時(shí),很多人表示,其所在組織的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者往往能力不足?!?/p>

是的,網(wǎng)絡(luò)安全短缺是導(dǎo)致此問題的一個因素。但是另一個因素是,企業(yè)董事會和領(lǐng)導(dǎo)人(例如首席執(zhí)行官和首席信息官)缺乏對哪些技能對網(wǎng)絡(luò)領(lǐng)導(dǎo)者至關(guān)重要的理解。Howard說:“對于所需的專業(yè)知識技能,組織所需要支付的費(fèi)用常常被低估了?!?/p>

3.跟蹤第三方還不足以確保供應(yīng)鏈安全

彭博社在去年發(fā)表的一篇題為《大黑客:如何利用微小的芯片滲透到美國公司》的文章引發(fā)了亞馬遜、蘋果和Supermicro的爭議,他們都對這篇報(bào)道的真實(shí)性提出了質(zhì)疑。雖然這篇文章的真實(shí)性仍然存在爭議,但它確實(shí)引起了人們對供應(yīng)鏈攻擊威脅的普遍關(guān)注。一般來說,德勤公司建議組織仔細(xì)考慮第三方軟件、硬件和服務(wù)的潛在安全影響。

一方面,越來越多的事件表明,威脅行為者正在尋找供應(yīng)鏈中的受害者。例如,歐洲空中客車公司(Airbus)已成為針對其供應(yīng)商協(xié)同攻擊的一部分。今年早些時(shí)候,《連線》報(bào)道了一場針對至少6家企業(yè)的供應(yīng)鏈攻擊。

Peasley表示,大型企業(yè)有時(shí)可能有數(shù)千個第三方供應(yīng)商,并且可能還有成千上萬的第四方和第五方,盡管規(guī)模較小的企業(yè)往往具有較小的供應(yīng)商基礎(chǔ),但對供應(yīng)鏈的關(guān)注同樣重要。他說,“無論是供應(yīng)商將子組件放入組織可能要構(gòu)建的產(chǎn)品中,還是它是組織使用的軟件產(chǎn)品,都需要考慮其使用的數(shù)據(jù)類型的所有不同網(wǎng)絡(luò)方面,以及可能嵌入到組織的環(huán)境或產(chǎn)品中的事物類型?!?/p>

4.整合IT和OT團(tuán)隊(duì)對于網(wǎng)絡(luò)安全也至關(guān)重要

在許多工業(yè)和企業(yè)物聯(lián)網(wǎng)環(huán)境中,IT人員和運(yùn)營技術(shù)(OT)人員的整合是一個長期的主題。在網(wǎng)絡(luò)安全方面,由于傳統(tǒng)上網(wǎng)絡(luò)安全是人們關(guān)注的重點(diǎn),因此將IT和運(yùn)營技術(shù)(OT)整合的前景可能令人望而生畏。傳統(tǒng)上,保護(hù)運(yùn)營技術(shù)(OT)環(huán)境(如生產(chǎn)工廠或煉油廠)意味著不讓未經(jīng)授權(quán)的人員進(jìn)入限制區(qū)域?,F(xiàn)在,它包括防止黑客干預(yù)可能導(dǎo)致系統(tǒng)災(zāi)難的前景。Howard說:“運(yùn)營技術(shù)(OT)在網(wǎng)絡(luò)安全方面現(xiàn)在很受歡迎?!?/p>

同樣,在工業(yè)環(huán)境中工作的IT安全專業(yè)人員應(yīng)該明智地研究運(yùn)營技術(shù)環(huán)境中固有的傳統(tǒng)安全程序。許多工業(yè)組織已經(jīng)制定了數(shù)十年的安全計(jì)劃。Peasley說,“職責(zé)范圍擴(kuò)展到運(yùn)營技術(shù)的傳統(tǒng)IT安全專業(yè)人員需要對安全性有類似的看法,同時(shí)仔細(xì)考慮精煉廠或生產(chǎn)工廠物聯(lián)網(wǎng)設(shè)備的潛在安全后果。”

5.安全標(biāo)準(zhǔn)可以通過設(shè)計(jì)思路實(shí)現(xiàn)安全

如今,“設(shè)計(jì)安全”這個詞經(jīng)常被人提起,但要量化其含義并不總是那么容易。Peasley建議尋找最佳實(shí)踐的標(biāo)準(zhǔn)和法規(guī)。他說:“例如NIST、IEEE、ISA/IEC 62443一些標(biāo)準(zhǔn),這些標(biāo)準(zhǔn)包括將安全性設(shè)計(jì)為工業(yè)產(chǎn)品以及測試和認(rèn)證這些產(chǎn)品的有用信息,并提出有效的市場網(wǎng)絡(luò)安全戰(zhàn)略?!彼硎荆锫?lián)網(wǎng)安全涉及“與企業(yè)不同的思維方式”,以及保護(hù)“傳統(tǒng)網(wǎng)絡(luò)設(shè)備和基礎(chǔ)設(shè)施設(shè)備”的前景。例如,工業(yè)或醫(yī)療環(huán)境中的連接設(shè)備可能需要全天候正常運(yùn)行。Peasley說:“與企業(yè)環(huán)境相比,運(yùn)營技術(shù)環(huán)境中的約束條件往往不同。在這種情況下,標(biāo)準(zhǔn)可以幫助正式制定一個全面的安全戰(zhàn)略,規(guī)定如何培訓(xùn)從開發(fā)人員到工程師的工作人員,同時(shí)定期評估組織的網(wǎng)絡(luò)安全狀況。”

6.采用實(shí)用主義減少對新技術(shù)進(jìn)行炒作

從人工智能到5G的引入都會對網(wǎng)絡(luò)安全產(chǎn)生巨大影響,這一點(diǎn)很難避免一些宣傳和炒作。

Howard對人工智能一詞的廣泛使用表示懷疑。他說:“我對人工智能應(yīng)用的看法是,現(xiàn)在有太多的炒作行為。我為此感到困惑。這只是能夠區(qū)分我認(rèn)為的人工智能,即基于數(shù)學(xué)模型而非智能軟件做出獨(dú)立決策的機(jī)器?!?/p>

話雖如此,部署機(jī)器學(xué)習(xí)來檢測可能表明安全漏洞的異常仍然具有價(jià)值。在更廣泛的IT領(lǐng)域中,“IT運(yùn)營的人工智能(AIOps)”術(shù)語已成為主流。德勤公司建議采用該策略,并采用一種涵蓋開發(fā)和運(yùn)營(稱為DevSecOps)安全的設(shè)計(jì)方法來統(tǒng)一使用該策略。

關(guān)于正在興起的5G可能對物聯(lián)網(wǎng)安全和網(wǎng)絡(luò)安全產(chǎn)生的總體影響,Howard建議研究前幾代蜂窩通信技術(shù)的跡象,以獲得對未來可能的跡象。他說:“我猜測5G技術(shù)將遵循人們在3G、4G/LTE、LTE-M等領(lǐng)域看到的”典型脆弱性曲線。換句話說,一旦標(biāo)準(zhǔn)在現(xiàn)實(shí)世界中生效,入站攻擊就會增加。

一旦高帶寬的5G變得司空見慣,它可能會導(dǎo)致人們急于擴(kuò)展許多類型的物聯(lián)網(wǎng)設(shè)備的無線功能。Howard說:“組織將會連接到許多本不想連接的設(shè)備上。”

7.邊緣計(jì)算并不能完全保證安全

邊緣計(jì)算的核心營銷策略之一是它在網(wǎng)絡(luò)安全方面的所謂好處。這一前提下的基本邏輯是,在盡可能靠近生成數(shù)據(jù)的位置推出計(jì)算時(shí),會使網(wǎng)絡(luò)攻擊者的目標(biāo)更加困難。雖然這在一定程度上可能是正確的,但事實(shí)上有一個雙刃劍的因素。Howard說:“通常,在邊緣計(jì)算機(jī)只是沒有安全控制,組織可能有一個更集中的架構(gòu)。而當(dāng)有人說:‘我要在邊緣做所有的事’時(shí),我對此感到很擔(dān)心。”

Gartner公司分析師認(rèn)為,邊緣計(jì)算并不代表著一種偏離集中計(jì)算模型的鐘擺。與其相反,他們認(rèn)為這是一種補(bǔ)充。從安全角度來看,常見的混合邊緣云模型的前景增強(qiáng)了在發(fā)送到云平臺或核心數(shù)據(jù)中心的元數(shù)據(jù)中使用安全匿名控制的重要性。Howard說:“當(dāng)人們談到‘邊緣計(jì)算’時(shí),基本上是從大數(shù)據(jù)集中提取功能,然后將這些功能發(fā)送回集中的數(shù)據(jù)存儲。”

無論如何,Gartner公司強(qiáng)調(diào)說,“云計(jì)算是許多用例的默認(rèn)模型。云中的數(shù)據(jù)存儲是如此便宜,以至于除非用戶進(jìn)行大量查詢,否則存儲在云中可能是一件合理的事情。”

8.網(wǎng)絡(luò)安全中的自動化也是一種威脅

或許有人圍繞人工智能的話題可能會大肆宣傳和炒作,但實(shí)際上,無論是在進(jìn)攻還是防御方面,網(wǎng)絡(luò)安全中的自動化程度都在不斷增長。網(wǎng)絡(luò)釣魚并非唯一與物聯(lián)網(wǎng)有關(guān)的例子,但它說明了這一原理。著名的運(yùn)營技術(shù)(OT)網(wǎng)絡(luò)安全攻擊事件(例如2015年由網(wǎng)絡(luò)引發(fā)的烏克蘭電網(wǎng)中斷事件)源自常規(guī)的網(wǎng)絡(luò)釣魚攻擊。鑒于暗網(wǎng)的軟件工具的可用性,可以幫助網(wǎng)絡(luò)攻擊者簡化其活動并對其目標(biāo)進(jìn)行研究。

Howard認(rèn)為有針對性的網(wǎng)絡(luò)釣魚活動(稱為魚叉式網(wǎng)絡(luò)釣魚活動)隨著時(shí)間的推移將會越來越嚴(yán)重。他說:“我們從客戶那里聽到了關(guān)于這一事實(shí)的信息,魚叉式釣魚活動日趨嚴(yán)重如今變得更加可信?!?/p>

本站聲明: 本文章由作者或相關(guān)機(jī)構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點(diǎn),本站亦不保證或承諾內(nèi)容真實(shí)性等。需要轉(zhuǎn)載請聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請及時(shí)聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或?qū)⒋呱龈蟮莫?dú)角獸公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

加利福尼亞州圣克拉拉縣2024年8月30日 /美通社/ -- 數(shù)字化轉(zhuǎn)型技術(shù)解決方案公司Trianz今天宣布,該公司與Amazon Web Services (AWS)簽訂了...

關(guān)鍵字: AWS AN BSP 數(shù)字化

倫敦2024年8月29日 /美通社/ -- 英國汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認(rèn)證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時(shí)1.5...

關(guān)鍵字: 汽車 人工智能 智能驅(qū)動 BSP

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務(wù)能7×24不間斷運(yùn)行,同時(shí)企業(yè)卻面臨越來越多業(yè)務(wù)中斷的風(fēng)險(xiǎn),如企業(yè)系統(tǒng)復(fù)雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務(wù)連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報(bào)道,騰訊和網(wǎng)易近期正在縮減他們對日本游戲市場的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會開幕式在貴陽舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導(dǎo)體

8月28日消息,在2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會上,華為常務(wù)董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機(jī) 衛(wèi)星通信

要點(diǎn): 有效應(yīng)對環(huán)境變化,經(jīng)營業(yè)績穩(wěn)中有升 落實(shí)提質(zhì)增效舉措,毛利潤率延續(xù)升勢 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務(wù)引領(lǐng)增長 以科技創(chuàng)新為引領(lǐng),提升企業(yè)核心競爭力 堅(jiān)持高質(zhì)量發(fā)展策略,塑強(qiáng)核心競爭優(yōu)勢...

關(guān)鍵字: 通信 BSP 電信運(yùn)營商 數(shù)字經(jīng)濟(jì)

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺與中國電影電視技術(shù)學(xué)會聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會上宣布正式成立。 活動現(xiàn)場 NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會上,軟通動力信息技術(shù)(集團(tuán))股份有限公司(以下簡稱"軟通動力")與長三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉
關(guān)閉