物聯(lián)網(wǎng)安全策略你知道哪一些

物聯(lián)網(wǎng)安全性與IT安全性不同。行業(yè)專(zhuān)家有關(guān)如何很大程度地減少與物聯(lián)網(wǎng)相關(guān)的網(wǎng)絡(luò)風(fēng)險(xiǎn)的經(jīng)驗(yàn)進(jìn)行了分享。

物聯(lián)網(wǎng)不斷擴(kuò)大的攻擊面為網(wǎng)絡(luò)犯罪分子打開(kāi)了危險(xiǎn)的新視野，更為復(fù)雜的是，由于很多組織缺乏合格的網(wǎng)絡(luò)安全人才，并且圍繞著旨在幫助組織保護(hù)其網(wǎng)絡(luò)的幾種技術(shù)的宣傳和炒作令人困惑。

為了幫助組織應(yīng)對(duì)物聯(lián)網(wǎng)安全帶來(lái)的挑戰(zhàn)，德勤公司風(fēng)險(xiǎn)與金融咨詢(xún)合作伙伴，物聯(lián)網(wǎng)安全資深人士Sean Peasley以及Kudelski Security公司首席執(zhí)行官Andrew Howard對(duì)此進(jìn)行了探討。從網(wǎng)絡(luò)安全技能的差距、最小化供應(yīng)鏈風(fēng)險(xiǎn)的挑戰(zhàn)，以及從人工智能到5G的所有內(nèi)容，他們都參與其中。

1.對(duì)網(wǎng)絡(luò)人才抱有現(xiàn)實(shí)期望

眾所周知，很多組織缺少經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)安全專(zhuān)業(yè)人員。但是評(píng)估認(rèn)為，在短短幾年內(nèi)，將會(huì)面臨短缺數(shù)百萬(wàn)名網(wǎng)絡(luò)工作者的情況，這可能會(huì)給那些試圖保護(hù)其網(wǎng)絡(luò)、物聯(lián)網(wǎng)設(shè)備和IT系統(tǒng)的組織可能會(huì)產(chǎn)生某種程度的絕望。

Howard說(shuō)：“圍繞網(wǎng)絡(luò)安全技能差距這個(gè)話(huà)題似乎一直是人們談?wù)摰呐c網(wǎng)絡(luò)安全有關(guān)的首要話(huà)題。但是，有關(guān)該主題的討論有時(shí)可能會(huì)偏離正軌。盡管網(wǎng)絡(luò)人才短缺是現(xiàn)實(shí)存在的，坦率地說(shuō)，所有市場(chǎng)都存在短缺。”從美國(guó)到德國(guó)再到日本再到英國(guó)，這些國(guó)家的失業(yè)率不到4%。尋找網(wǎng)絡(luò)人才的組織應(yīng)該尋求在短期內(nèi)可能吸引哪些類(lèi)型的專(zhuān)業(yè)人員，以幫助他們量化地降低其網(wǎng)絡(luò)風(fēng)險(xiǎn)。

Howard說(shuō)，網(wǎng)絡(luò)安全市場(chǎng)對(duì)于分析師的需求很大。他解釋說(shuō)：“我認(rèn)為，在網(wǎng)絡(luò)安全組織結(jié)構(gòu)圖的頂端，并不缺少經(jīng)驗(yàn)豐富的］員工。人們可能會(huì)說(shuō)合格的員工短缺，但是我看到的是，當(dāng)組織并不難找到首席信息安全官，但通常很難負(fù)擔(dān)得起，這么因?yàn)閷?duì)其市場(chǎng)需求很高?！?/p>

2.確保組織聘用的應(yīng)聘者是合格并且提供報(bào)酬

在支持網(wǎng)絡(luò)勞動(dòng)力時(shí)，最好采用非傳統(tǒng)策略，但是一個(gè)陷阱是，在雇用高級(jí)職位的工作人員時(shí)，他們的資格可能并不合格。Howard說(shuō)：“我所看到的令人擔(dān)憂(yōu)的事情是，我與潛在客戶(hù)進(jìn)行了交談，這些客戶(hù)嚴(yán)重削弱了他們所在領(lǐng)域的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者的技能?！?/p>

網(wǎng)絡(luò)安全短缺是造成這個(gè)問(wèn)題的原因之一。但是另一個(gè)原因是，企業(yè)董事會(huì)和領(lǐng)導(dǎo)者（例如首席執(zhí)行官和首席信息官）對(duì)哪些技能對(duì)網(wǎng)絡(luò)領(lǐng)袖至關(guān)重要缺乏了解。Howard說(shuō)：人們往往對(duì)其必須為所需的專(zhuān)業(yè)技能付出的費(fèi)用并不滿(mǎn)意?！?/p>

3.跟蹤第三方還不足以確保供應(yīng)鏈安全

去年，彭博社發(fā)表了一篇題為《黑客如何利用微小的芯片滲透到企業(yè)》的文章。這個(gè)故事引發(fā)了亞馬遜、蘋(píng)果和超微公司的爭(zhēng)議。盡管該文章的事實(shí)仍存爭(zhēng)議，但確實(shí)引起人們對(duì)一般供應(yīng)鏈攻擊威脅的關(guān)注。通常，德勤公司建議組織仔細(xì)考慮第三方軟件、硬件和服務(wù)的潛在安全影響。

一方面，越來(lái)越多的故事表明，威脅行為者正在尋找供應(yīng)鏈中的受害者。例如，歐洲航空公司空中客車(chē)公司（Airbus）已成為針對(duì)其供應(yīng)商的協(xié)同攻擊的一部分。今年早些時(shí)候，行業(yè)媒體報(bào)道了針對(duì)至少六個(gè)組織的供應(yīng)鏈攻擊。

Peasley說(shuō)，大型企業(yè)有時(shí)會(huì)有數(shù)千家第三方供應(yīng)商，可能還會(huì)有數(shù)千家第四方和第五方供應(yīng)商。雖然規(guī)模較小的公司往往有較小的供應(yīng)商基礎(chǔ)，但對(duì)供應(yīng)鏈的關(guān)注同樣重要。他說(shuō)，“無(wú)論是將子組件放入組織可能構(gòu)建的產(chǎn)品中的供應(yīng)商，還是使用的軟件產(chǎn)品，組織都需要考慮它們使用的數(shù)據(jù)類(lèi)型的所有不同網(wǎng)絡(luò)方面，以及可能嵌入到組織的環(huán)境或產(chǎn)品中的內(nèi)容類(lèi)型?！?/p>

4.整合IT和OT團(tuán)隊(duì)對(duì)于網(wǎng)絡(luò)安全也至關(guān)重要

在許多工業(yè)和企業(yè)物聯(lián)網(wǎng)環(huán)境中，信息技術(shù)人員，IT和運(yùn)營(yíng)技術(shù)人員的集成是一個(gè)長(zhǎng)期的主題。在網(wǎng)絡(luò)安全方面，由于傳統(tǒng)上網(wǎng)絡(luò)安全是前陣營(yíng)的重點(diǎn)，因此將IT和OT集成的前景可能令人望而生畏。傳統(tǒng)上，保護(hù)工廠(chǎng)或精煉廠(chǎng)等OT（運(yùn)營(yíng)技術(shù)）環(huán)境意味著將未經(jīng)授權(quán)的人員留在禁區(qū)外?，F(xiàn)在，它具有防止黑客干預(yù)可能引起災(zāi)難的系統(tǒng)的前景?；羧A德說(shuō)：“現(xiàn)在需要OT安全。”

在許多工業(yè)和企業(yè)物聯(lián)網(wǎng)環(huán)境中，IT（信息技術(shù)）人員和OT（運(yùn)營(yíng)技術(shù)）人員的融合是一個(gè)永恒的主題。就網(wǎng)絡(luò)安全而言，整合IT和OT的前景可能令人望而生畏，因?yàn)榫W(wǎng)絡(luò)安全歷來(lái)是組織關(guān)注的焦點(diǎn)。傳統(tǒng)上，保護(hù)OT（運(yùn)營(yíng)技術(shù)）環(huán)境（如工廠(chǎng)或煉油廠(chǎng)）意味著不讓未經(jīng)授權(quán)的人員進(jìn)入限制區(qū)域。現(xiàn)在，它包括防止黑客干預(yù)可能導(dǎo)致災(zāi)難的系統(tǒng)的前景。Howard說(shuō)：“組織現(xiàn)在需要保證OT安全?！?/p>

同樣，在工業(yè)環(huán)境中謀求職業(yè)生涯的IT安全專(zhuān)業(yè)人員應(yīng)該明智地研究OT（運(yùn)營(yíng)技術(shù)）環(huán)境中固有的傳統(tǒng)安全程序。許多工業(yè)組織已經(jīng)制定了數(shù)十年的安全計(jì)劃。Peasley說(shuō)，“其傳統(tǒng)的IT安全專(zhuān)業(yè)人員的職責(zé)延伸到OT（運(yùn)營(yíng)技術(shù)），他們?cè)诎踩矫嫘枰蓄?lèi)似的看法，同時(shí)要仔細(xì)考慮煉油廠(chǎng)或工廠(chǎng)等連接設(shè)備的潛在安全影響?！?/p>

5.安全標(biāo)準(zhǔn)有助于通過(guò)設(shè)計(jì)實(shí)現(xiàn)安全

如今，“設(shè)計(jì)安全”這個(gè)詞經(jīng)常被人提起，但要量化其含義并不總是那么容易。Peasley建議尋找優(yōu)秀實(shí)踐的標(biāo)準(zhǔn)和法規(guī)。他說(shuō)：“人們可以了解NIST標(biāo)準(zhǔn)、某些IEEE標(biāo)準(zhǔn)、ISA/IEC62443標(biāo)準(zhǔn)等。這些文件包括將安全性設(shè)計(jì)為工業(yè)產(chǎn)品以及測(cè)試和認(rèn)證這些產(chǎn)品的有用信息，并提出有效的網(wǎng)絡(luò)安全戰(zhàn)略。”他表示，物聯(lián)網(wǎng)安全涉及與企業(yè)不同的思維方式，以及保護(hù)傳統(tǒng)網(wǎng)絡(luò)設(shè)備和基礎(chǔ)設(shè)施設(shè)備的前景。例如，工業(yè)或醫(yī)療環(huán)境中的連接設(shè)備可能需要全天候正常運(yùn)行。Peasley說(shuō)：“與企業(yè)環(huán)境相比，OT（運(yùn)營(yíng)技術(shù)）環(huán)境中的約束條件往往不同。在這種情況下，標(biāo)準(zhǔn)可以幫助正式制定一項(xiàng)全面的安全戰(zhàn)略，規(guī)定如何培訓(xùn)從開(kāi)發(fā)人員到工程師的工作人員，同時(shí)定期評(píng)估組織的網(wǎng)絡(luò)安全狀況?！?/p>

6.采用實(shí)用主義應(yīng)對(duì)新技術(shù)進(jìn)行宣傳和炒作

從人工智能到5G的引入都會(huì)對(duì)網(wǎng)絡(luò)安全產(chǎn)生巨大影響，這一點(diǎn)很難避免進(jìn)行宣傳和炒作。

Howard對(duì)人工智能一詞的廣泛使用表示懷疑。他說(shuō)：“我對(duì)人工智能的看法是，有太多的宣傳和炒作了。我對(duì)此感到困惑-——只是能夠區(qū)分我所認(rèn)為的人工智能，即機(jī)器根據(jù)數(shù)學(xué)模型做出獨(dú)立決策，而不是僅僅根據(jù)更智能的軟件?！?/p>

也就是說(shuō)，部署機(jī)器學(xué)習(xí)來(lái)檢測(cè)可能指示安全漏洞的異常仍然有價(jià)值。在更廣闊的IT領(lǐng)域，術(shù)語(yǔ)“用于IT運(yùn)營(yíng)的人工智能（AIOps）”已成為主流。德勤公司建議采用這一戰(zhàn)略，并采用一種涵蓋開(kāi)發(fā)和運(yùn)營(yíng)（稱(chēng)為DevSecOps）的安全的設(shè)計(jì)方法來(lái)統(tǒng)一該策略。

關(guān)于5G的崛起可能對(duì)物聯(lián)網(wǎng)安全和網(wǎng)絡(luò)安全產(chǎn)生的總體影響，Howard建議研究前幾代蜂窩技術(shù)的跡象，以獲得對(duì)未來(lái)可能的跡象。他說(shuō)：“我猜測(cè)5G的首次亮相將遵循組織在3G、4G/LTE、LTE-M等領(lǐng)域看到的典型脆弱性曲線(xiàn)。換句話(huà)說(shuō)，一旦標(biāo)準(zhǔn)在現(xiàn)實(shí)世界中生效，入站攻擊就會(huì)增加。”

一旦5G的高帶寬風(fēng)格變得司空見(jiàn)慣，它可能會(huì)導(dǎo)致人們急于擴(kuò)大許多類(lèi)型的物聯(lián)網(wǎng)設(shè)備的無(wú)線(xiàn)能力。Howard說(shuō)：“用戶(hù)交會(huì)連接到很多從未打算連接的設(shè)備上?！?/p>

7.邊緣計(jì)算并不是一種安全解決方案

邊緣計(jì)算的主要市場(chǎng)推廣之一是其在網(wǎng)絡(luò)安全方面的優(yōu)勢(shì)。這一前提下的基本邏輯是，在將計(jì)算盡可能地遠(yuǎn)離生成數(shù)據(jù)的位置時(shí)，這會(huì)網(wǎng)絡(luò)使攻擊者的目標(biāo)更加困難。雖然在一定程度上可能是正確的，但事實(shí)確實(shí)有一個(gè)雙刃劍因素。Howard說(shuō)：“通常在邊緣，組織只是沒(méi)有一個(gè)更集中的架構(gòu)中的安全控制。當(dāng)我聽(tīng)到有人說(shuō)：‘我將盡一切努力時(shí)，我會(huì)感到擔(dān)心?！?/p>

Gartner公司等調(diào)研機(jī)構(gòu)的分析師并不認(rèn)為邊緣計(jì)算代表著偏離中央計(jì)算模型的趨勢(shì)。相反，他們將其視為一種補(bǔ)充。從安全的角度來(lái)看，常見(jiàn)的混合邊緣云計(jì)算模型的前景提高了在發(fā)送到云端或核心數(shù)據(jù)中心的元數(shù)據(jù)中使用安全匿名控件的重要性。Howard說(shuō)：“當(dāng)人們討論‘邊緣計(jì)算’時(shí)，基本上是從大數(shù)據(jù)集中提取功能，然后將這些功能發(fā)送回集中式數(shù)據(jù)存儲(chǔ)。

Howard強(qiáng)調(diào)，“無(wú)論如何，云計(jì)算是許多用例的默認(rèn)模型。云中的數(shù)據(jù)存儲(chǔ)非常便宜，因此，除非用戶(hù)進(jìn)行大量查詢(xún)，否則在云中存儲(chǔ)可能是一件合理的事情?！?/p>

8.網(wǎng)絡(luò)安全中的自動(dòng)化也是一種威脅

圍繞人工智能的話(huà)題可能還很多炒作，但實(shí)際上，無(wú)論是從進(jìn)攻還是防御方面，網(wǎng)絡(luò)安全的自動(dòng)化程度都在不斷提高。網(wǎng)絡(luò)釣魚(yú)并非唯一與物聯(lián)網(wǎng)有關(guān)的例子，但它說(shuō)明了這一原理。著名的一次OT（運(yùn)營(yíng)技術(shù)）網(wǎng)絡(luò)安全攻擊（例如2015年由網(wǎng)絡(luò)引發(fā)的烏克蘭電力中斷）源自常規(guī)的網(wǎng)絡(luò)釣魚(yú)攻擊。鑒于暗網(wǎng)中提供的軟件工具可幫助網(wǎng)絡(luò)攻擊者簡(jiǎn)化攻擊活動(dòng)，并對(duì)其目標(biāo)進(jìn)行研究，Howard認(rèn)為有針對(duì)性的網(wǎng)絡(luò)釣魚(yú)活動(dòng)被稱(chēng)為“魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)”，并且隨著時(shí)間的推移越來(lái)越嚴(yán)重。Howard說(shuō)：“我們從客戶(hù)那里聽(tīng)到這一信息?，F(xiàn)在魚(yú)叉式釣魚(yú)方式變得更加可信?！?/p>