物聯(lián)網(wǎng)安全策略你懂得幾個(gè)

物聯(lián)網(wǎng)安全性與IT安全性有所不同，行業(yè)專家就如何將物聯(lián)網(wǎng)相關(guān)網(wǎng)絡(luò)風(fēng)險(xiǎn)降到最低提出了建議。

物聯(lián)網(wǎng)不斷擴(kuò)大的攻擊面為從黑客到激進(jìn)國家提供了危險(xiǎn)的新視野。更為復(fù)雜的是，由于缺乏合格的網(wǎng)絡(luò)安全人才，圍繞著一些旨在幫助組織保護(hù)其網(wǎng)絡(luò)多種技術(shù)的炒作令人困惑。

為了幫助組織應(yīng)對(duì)物聯(lián)網(wǎng)安全帶來的挑戰(zhàn)，調(diào)研機(jī)構(gòu)德勤公司風(fēng)險(xiǎn)與金融咨詢合作伙伴、物聯(lián)網(wǎng)安全資深人士Sean Peasley以及安全廠商Kudelski Security公司首席執(zhí)行官Andrew Howard為此進(jìn)行了分析。他們從網(wǎng)絡(luò)安全技能的差距、最小化供應(yīng)鏈風(fēng)險(xiǎn)的挑戰(zhàn)，以及從人工智能到5G的所有內(nèi)容的宣傳中權(quán)衡一切。

1.對(duì)網(wǎng)絡(luò)安全人才抱有現(xiàn)實(shí)期望

眾所周知，缺乏經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)安全專業(yè)人員。但是，如果評(píng)估認(rèn)為幾年內(nèi)或即將出現(xiàn)數(shù)百萬網(wǎng)絡(luò)工作者的人員短缺，可能會(huì)給試圖保護(hù)其網(wǎng)絡(luò)、物聯(lián)網(wǎng)設(shè)備和IT系統(tǒng)的組織帶來一定程度的絕望。

Howard說：“圍繞網(wǎng)絡(luò)安全技能差距似乎一直是人們要談?wù)摰呐c網(wǎng)絡(luò)安全有關(guān)的首要話題。但是，有關(guān)該主題的討論有時(shí)可能會(huì)偏離正軌。盡管網(wǎng)絡(luò)人才短缺是現(xiàn)實(shí)的，但坦率地說，所有市場(chǎng)都存在短缺。”例如美國、德國、日本、英國這些國家的失業(yè)率不到4%。尋找網(wǎng)絡(luò)人才的組織應(yīng)該尋求在短期內(nèi)可能吸引哪些類型的專業(yè)人員，以幫助他們量化地降低其網(wǎng)絡(luò)風(fēng)險(xiǎn)。

Howard說，網(wǎng)絡(luò)安全市場(chǎng)對(duì)網(wǎng)絡(luò)安全人員的需求很大。他解釋說：“我認(rèn)為，在網(wǎng)絡(luò)安全組織結(jié)構(gòu)圖的頂端，并不缺少經(jīng)驗(yàn)豐富的員工。人們可能會(huì)爭(zhēng)辯說缺少合格的人才，但是我看到的是，組織通常難以負(fù)擔(dān)雇傭首席信息安全官的費(fèi)用，因?yàn)槭袌?chǎng)需求太大?！?/p>

2.確保應(yīng)聘者是合格且負(fù)擔(dān)得起

組織在為網(wǎng)絡(luò)員工提供支持時(shí)，最好采用非傳統(tǒng)策略，但是面臨的一個(gè)陷阱是，在聘請(qǐng)高級(jí)職位的員工時(shí)需要跳過資格要求。Howard說：“在我與潛在客戶溝通時(shí)，很多人表示，其所在組織的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者往往能力不足?！?/p>

是的，網(wǎng)絡(luò)安全短缺是導(dǎo)致此問題的一個(gè)因素。但是另一個(gè)因素是，企業(yè)董事會(huì)和領(lǐng)導(dǎo)人（例如首席執(zhí)行官和首席信息官）缺乏對(duì)哪些技能對(duì)網(wǎng)絡(luò)領(lǐng)導(dǎo)者至關(guān)重要的理解。Howard說：“對(duì)于所需的專業(yè)知識(shí)技能，組織所需要支付的費(fèi)用常常被低估了?！?/p>

3.跟蹤第三方還不足以確保供應(yīng)鏈安全

彭博社在去年發(fā)表的一篇題為《大黑客：如何利用微小的芯片滲透到美國公司》的文章引發(fā)了亞馬遜、蘋果和Supermicro的爭(zhēng)議，他們都對(duì)這篇報(bào)道的真實(shí)性提出了質(zhì)疑。雖然這篇文章的真實(shí)性仍然存在爭(zhēng)議，但它確實(shí)引起了人們對(duì)供應(yīng)鏈攻擊威脅的普遍關(guān)注。一般來說，德勤公司建議組織仔細(xì)考慮第三方軟件、硬件和服務(wù)的潛在安全影響。

一方面，越來越多的事件表明，威脅行為者正在尋找供應(yīng)鏈中的受害者。例如，歐洲空中客車公司（Airbus）已成為針對(duì)其供應(yīng)商協(xié)同攻擊的一部分。今年早些時(shí)候，《連線》報(bào)道了一場(chǎng)針對(duì)至少6家企業(yè)的供應(yīng)鏈攻擊。

Peasley表示，大型企業(yè)有時(shí)可能有數(shù)千個(gè)第三方供應(yīng)商，并且可能還有成千上萬的第四方和第五方，盡管規(guī)模較小的企業(yè)往往具有較小的供應(yīng)商基礎(chǔ)，但對(duì)供應(yīng)鏈的關(guān)注同樣重要。他說，“無論是供應(yīng)商將子組件放入組織可能要構(gòu)建的產(chǎn)品中，還是它是組織使用的軟件產(chǎn)品，都需要考慮其使用的數(shù)據(jù)類型的所有不同網(wǎng)絡(luò)方面，以及可能嵌入到組織的環(huán)境或產(chǎn)品中的事物類型?！?/p>

4.整合IT和OT團(tuán)隊(duì)對(duì)于網(wǎng)絡(luò)安全也至關(guān)重要

在許多工業(yè)和企業(yè)物聯(lián)網(wǎng)環(huán)境中，IT人員和運(yùn)營技術(shù)（OT）人員的整合是一個(gè)長期的主題。在網(wǎng)絡(luò)安全方面，由于傳統(tǒng)上網(wǎng)絡(luò)安全是人們關(guān)注的重點(diǎn)，因此將IT和運(yùn)營技術(shù)（OT）整合的前景可能令人望而生畏。傳統(tǒng)上，保護(hù)運(yùn)營技術(shù)（OT）環(huán)境（如生產(chǎn)工廠或煉油廠）意味著不讓未經(jīng)授權(quán)的人員進(jìn)入限制區(qū)域。現(xiàn)在，它包括防止黑客干預(yù)可能導(dǎo)致系統(tǒng)災(zāi)難的前景。Howard說：“運(yùn)營技術(shù)（OT）在網(wǎng)絡(luò)安全方面現(xiàn)在很受歡迎。”

同樣，在工業(yè)環(huán)境中工作的IT安全專業(yè)人員應(yīng)該明智地研究運(yùn)營技術(shù)環(huán)境中固有的傳統(tǒng)安全程序。許多工業(yè)組織已經(jīng)制定了數(shù)十年的安全計(jì)劃。Peasley說，“職責(zé)范圍擴(kuò)展到運(yùn)營技術(shù)的傳統(tǒng)IT安全專業(yè)人員需要對(duì)安全性有類似的看法，同時(shí)仔細(xì)考慮精煉廠或生產(chǎn)工廠物聯(lián)網(wǎng)設(shè)備的潛在安全后果?！?/p>

5.安全標(biāo)準(zhǔn)可以通過設(shè)計(jì)思路實(shí)現(xiàn)安全

如今，“設(shè)計(jì)安全”這個(gè)詞經(jīng)常被人提起，但要量化其含義并不總是那么容易。Peasley建議尋找最佳實(shí)踐的標(biāo)準(zhǔn)和法規(guī)。他說：“例如NIST、IEEE、ISA/IEC 62443一些標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)包括將安全性設(shè)計(jì)為工業(yè)產(chǎn)品以及測(cè)試和認(rèn)證這些產(chǎn)品的有用信息，并提出有效的市場(chǎng)網(wǎng)絡(luò)安全戰(zhàn)略。”他表示，物聯(lián)網(wǎng)安全涉及“與企業(yè)不同的思維方式”，以及保護(hù)“傳統(tǒng)網(wǎng)絡(luò)設(shè)備和基礎(chǔ)設(shè)施設(shè)備”的前景。例如，工業(yè)或醫(yī)療環(huán)境中的連接設(shè)備可能需要全天候正常運(yùn)行。Peasley說：“與企業(yè)環(huán)境相比，運(yùn)營技術(shù)環(huán)境中的約束條件往往不同。在這種情況下，標(biāo)準(zhǔn)可以幫助正式制定一個(gè)全面的安全戰(zhàn)略，規(guī)定如何培訓(xùn)從開發(fā)人員到工程師的工作人員，同時(shí)定期評(píng)估組織的網(wǎng)絡(luò)安全狀況?！?/p>

6.采用實(shí)用主義減少對(duì)新技術(shù)進(jìn)行炒作

從人工智能到5G的引入都會(huì)對(duì)網(wǎng)絡(luò)安全產(chǎn)生巨大影響，這一點(diǎn)很難避免一些宣傳和炒作。

Howard對(duì)人工智能一詞的廣泛使用表示懷疑。他說：“我對(duì)人工智能應(yīng)用的看法是，現(xiàn)在有太多的炒作行為。我為此感到困惑。這只是能夠區(qū)分我認(rèn)為的人工智能，即基于數(shù)學(xué)模型而非智能軟件做出獨(dú)立決策的機(jī)器。”

話雖如此，部署機(jī)器學(xué)習(xí)來檢測(cè)可能表明安全漏洞的異常仍然具有價(jià)值。在更廣泛的IT領(lǐng)域中，“IT運(yùn)營的人工智能（AIOps）”術(shù)語已成為主流。德勤公司建議采用該策略，并采用一種涵蓋開發(fā)和運(yùn)營（稱為DevSecOps）安全的設(shè)計(jì)方法來統(tǒng)一使用該策略。

關(guān)于正在興起的5G可能對(duì)物聯(lián)網(wǎng)安全和網(wǎng)絡(luò)安全產(chǎn)生的總體影響，Howard建議研究前幾代蜂窩通信技術(shù)的跡象，以獲得對(duì)未來可能的跡象。他說：“我猜測(cè)5G技術(shù)將遵循人們?cè)?G、4G/LTE、LTE-M等領(lǐng)域看到的”典型脆弱性曲線。換句話說，一旦標(biāo)準(zhǔn)在現(xiàn)實(shí)世界中生效，入站攻擊就會(huì)增加。

一旦高帶寬的5G變得司空見慣，它可能會(huì)導(dǎo)致人們急于擴(kuò)展許多類型的物聯(lián)網(wǎng)設(shè)備的無線功能。Howard說：“組織將會(huì)連接到許多本不想連接的設(shè)備上?！?/p>

7.邊緣計(jì)算并不能完全保證安全

邊緣計(jì)算的核心營銷策略之一是它在網(wǎng)絡(luò)安全方面的所謂好處。這一前提下的基本邏輯是，在盡可能靠近生成數(shù)據(jù)的位置推出計(jì)算時(shí)，會(huì)使網(wǎng)絡(luò)攻擊者的目標(biāo)更加困難。雖然這在一定程度上可能是正確的，但事實(shí)上有一個(gè)雙刃劍的因素。Howard說：“通常，在邊緣計(jì)算機(jī)只是沒有安全控制，組織可能有一個(gè)更集中的架構(gòu)。而當(dāng)有人說：‘我要在邊緣做所有的事’時(shí)，我對(duì)此感到很擔(dān)心。”

Gartner公司分析師認(rèn)為，邊緣計(jì)算并不代表著一種偏離集中計(jì)算模型的鐘擺。與其相反，他們認(rèn)為這是一種補(bǔ)充。從安全角度來看，常見的混合邊緣云模型的前景增強(qiáng)了在發(fā)送到云平臺(tái)或核心數(shù)據(jù)中心的元數(shù)據(jù)中使用安全匿名控制的重要性。Howard說：“當(dāng)人們談到‘邊緣計(jì)算’時(shí)，基本上是從大數(shù)據(jù)集中提取功能，然后將這些功能發(fā)送回集中的數(shù)據(jù)存儲(chǔ)?！?/p>

無論如何，Gartner公司強(qiáng)調(diào)說，“云計(jì)算是許多用例的默認(rèn)模型。云中的數(shù)據(jù)存儲(chǔ)是如此便宜，以至于除非用戶進(jìn)行大量查詢，否則存儲(chǔ)在云中可能是一件合理的事情。”

8.網(wǎng)絡(luò)安全中的自動(dòng)化也是一種威脅

或許有人圍繞人工智能的話題可能會(huì)大肆宣傳和炒作，但實(shí)際上，無論是在進(jìn)攻還是防御方面，網(wǎng)絡(luò)安全中的自動(dòng)化程度都在不斷增長。網(wǎng)絡(luò)釣魚并非唯一與物聯(lián)網(wǎng)有關(guān)的例子，但它說明了這一原理。著名的運(yùn)營技術(shù)（OT）網(wǎng)絡(luò)安全攻擊事件（例如2015年由網(wǎng)絡(luò)引發(fā)的烏克蘭電網(wǎng)中斷事件）源自常規(guī)的網(wǎng)絡(luò)釣魚攻擊。鑒于暗網(wǎng)的軟件工具的可用性，可以幫助網(wǎng)絡(luò)攻擊者簡(jiǎn)化其活動(dòng)并對(duì)其目標(biāo)進(jìn)行研究。

Howard認(rèn)為有針對(duì)性的網(wǎng)絡(luò)釣魚活動(dòng)（稱為魚叉式網(wǎng)絡(luò)釣魚活動(dòng)）隨著時(shí)間的推移將會(huì)越來越嚴(yán)重。他說：“我們從客戶那里聽到了關(guān)于這一事實(shí)的信息，魚叉式釣魚活動(dòng)日趨嚴(yán)重如今變得更加可信?！?/p>