物聯(lián)網(wǎng)安全性與IT安全性不同。行業(yè)專家有關(guān)如何很大程度地減少與物聯(lián)網(wǎng)相關(guān)的網(wǎng)絡(luò)風(fēng)險(xiǎn)的經(jīng)驗(yàn)進(jìn)行了分享。

[[287039]]

物聯(lián)網(wǎng)不斷擴(kuò)大的攻擊面為網(wǎng)絡(luò)犯罪分子打開了危險(xiǎn)的新視野，更為復(fù)雜的是，由于很多組織缺乏合格的網(wǎng)絡(luò)安全人才，并且圍繞著旨在幫助組織保護(hù)其網(wǎng)絡(luò)的幾種技術(shù)的宣傳和炒作令人困惑。

為了幫助組織應(yīng)對(duì)物聯(lián)網(wǎng)安全帶來的挑戰(zhàn)，德勤公司風(fēng)險(xiǎn)與金融咨詢合作伙伴，物聯(lián)網(wǎng)安全資深人士Sean Peasley以及Kudelski Security公司首席執(zhí)行官Andrew Howard對(duì)此進(jìn)行了探討。從網(wǎng)絡(luò)安全技能的差距、最小化供應(yīng)鏈風(fēng)險(xiǎn)的挑戰(zhàn)，以及從人工智能到5G的所有內(nèi)容，他們都參與其中。

1.對(duì)網(wǎng)絡(luò)人才抱有現(xiàn)實(shí)期望

眾所周知，很多組織缺少經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)安全專業(yè)人員。但是評(píng)估認(rèn)為，在短短幾年內(nèi)，將會(huì)面臨短缺數(shù)百萬名網(wǎng)絡(luò)工作者的情況，這可能會(huì)給那些試圖保護(hù)其網(wǎng)絡(luò)、物聯(lián)網(wǎng)設(shè)備和IT系統(tǒng)的組織可能會(huì)產(chǎn)生某種程度的絕望。

Howard說：“圍繞網(wǎng)絡(luò)安全技能差距這個(gè)話題似乎一直是人們談?wù)摰呐c網(wǎng)絡(luò)安全有關(guān)的首要話題。但是，有關(guān)該主題的討論有時(shí)可能會(huì)偏離正軌。盡管網(wǎng)絡(luò)人才短缺是現(xiàn)實(shí)存在的，坦率地說，所有市場都存在短缺。”從美國到德國再到日本再到英國，這些國家的失業(yè)率不到4%。尋找網(wǎng)絡(luò)人才的組織應(yīng)該尋求在短期內(nèi)可能吸引哪些類型的專業(yè)人員，以幫助他們量化地降低其網(wǎng)絡(luò)風(fēng)險(xiǎn)。

Howard說，網(wǎng)絡(luò)安全市場對(duì)于分析師的需求很大。他解釋說：“我認(rèn)為，在網(wǎng)絡(luò)安全組織結(jié)構(gòu)圖的頂端，并不缺少經(jīng)驗(yàn)豐富的]員工。人們可能會(huì)說合格的員工短缺，但是我看到的是，當(dāng)組織并不難找到首席信息安全官，但通常很難負(fù)擔(dān)得起，這么因?yàn)閷?duì)其市場需求很高。”

2.確保組織聘用的應(yīng)聘者是合格并且提供報(bào)酬

在支持網(wǎng)絡(luò)勞動(dòng)力時(shí)，最好采用非傳統(tǒng)策略，但是一個(gè)陷阱是，在雇用高級(jí)職位的工作人員時(shí)，他們的資格可能并不合格。Howard說：“我所看到的令人擔(dān)憂的事情是，我與潛在客戶進(jìn)行了交談，這些客戶嚴(yán)重削弱了他們所在領(lǐng)域的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者的技能。”

網(wǎng)絡(luò)安全短缺是造成這個(gè)問題的原因之一。但是另一個(gè)原因是，企業(yè)董事會(huì)和領(lǐng)導(dǎo)者(例如首席執(zhí)行官和首席信息官)對(duì)哪些技能對(duì)網(wǎng)絡(luò)領(lǐng)袖至關(guān)重要缺乏了解。Howard說：人們往往對(duì)其必須為所需的專業(yè)技能付出的費(fèi)用并不滿意。”

3.跟蹤第三方還不足以確保供應(yīng)鏈安全

去年，彭博社發(fā)表了一篇題為《黑客如何利用微小的芯片滲透到企業(yè)》的文章。這個(gè)故事引發(fā)了亞馬遜、蘋果和超微公司的爭議。盡管該文章的事實(shí)仍存爭議，但確實(shí)引起人們對(duì)一般供應(yīng)鏈攻擊威脅的關(guān)注。通常，德勤公司建議組織仔細(xì)考慮第三方軟件、硬件和服務(wù)的潛在安全影響。

一方面，越來越多的故事表明，威脅行為者正在尋找供應(yīng)鏈中的受害者。例如，歐洲航空公司空中客車公司(Airbus)已成為針對(duì)其供應(yīng)商的協(xié)同攻擊的一部分。今年早些時(shí)候，行業(yè)媒體報(bào)道了針對(duì)至少六個(gè)組織的供應(yīng)鏈攻擊。

Peasley說，大型企業(yè)有時(shí)會(huì)有數(shù)千家第三方供應(yīng)商，可能還會(huì)有數(shù)千家第四方和第五方供應(yīng)商。雖然規(guī)模較小的公司往往有較小的供應(yīng)商基礎(chǔ)，但對(duì)供應(yīng)鏈的關(guān)注同樣重要。他說，“無論是將子組件放入組織可能構(gòu)建的產(chǎn)品中的供應(yīng)商，還是使用的軟件產(chǎn)品，組織都需要考慮它們使用的數(shù)據(jù)類型的所有不同網(wǎng)絡(luò)方面，以及可能嵌入到組織的環(huán)境或產(chǎn)品中的內(nèi)容類型。”

4.整合IT和OT團(tuán)隊(duì)對(duì)于網(wǎng)絡(luò)安全也至關(guān)重要

在許多工業(yè)和企業(yè)物聯(lián)網(wǎng)環(huán)境中，信息技術(shù)人員，IT和運(yùn)營技術(shù)人員的集成是一個(gè)長期的主題。在網(wǎng)絡(luò)安全方面，由于傳統(tǒng)上網(wǎng)絡(luò)安全是前陣營的重點(diǎn)，因此將IT和OT集成的前景可能令人望而生畏。傳統(tǒng)上，保護(hù)工廠或精煉廠等OT(運(yùn)營技術(shù))環(huán)境意味著將未經(jīng)授權(quán)的人員留在禁區(qū)外。現(xiàn)在，它具有防止黑客干預(yù)可能引起災(zāi)難的系統(tǒng)的前景?；羧A德說：“現(xiàn)在需要OT安全。”

在許多工業(yè)和企業(yè)物聯(lián)網(wǎng)環(huán)境中，IT(信息技術(shù))人員和OT(運(yùn)營技術(shù))人員的融合是一個(gè)永恒的主題。就網(wǎng)絡(luò)安全而言，整合IT和OT的前景可能令人望而生畏，因?yàn)榫W(wǎng)絡(luò)安全歷來是組織關(guān)注的焦點(diǎn)。傳統(tǒng)上，保護(hù)OT(運(yùn)營技術(shù))環(huán)境(如工廠或煉油廠)意味著不讓未經(jīng)授權(quán)的人員進(jìn)入限制區(qū)域?，F(xiàn)在，它包括防止黑客干預(yù)可能導(dǎo)致災(zāi)難的系統(tǒng)的前景。Howard說：“組織現(xiàn)在需要保證OT安全。”

同樣，在工業(yè)環(huán)境中謀求職業(yè)生涯的IT安全專業(yè)人員應(yīng)該明智地研究OT(運(yùn)營技術(shù))環(huán)境中固有的傳統(tǒng)安全程序。許多工業(yè)組織已經(jīng)制定了數(shù)十年的安全計(jì)劃。Peasley說，“其傳統(tǒng)的IT安全專業(yè)人員的職責(zé)延伸到OT(運(yùn)營技術(shù))，他們?cè)诎踩矫嫘枰蓄愃频目捶ǎ瑫r(shí)要仔細(xì)考慮煉油廠或工廠等連接設(shè)備的潛在安全影響。”

5.安全標(biāo)準(zhǔn)有助于通過設(shè)計(jì)實(shí)現(xiàn)安全

如今，“設(shè)計(jì)安全”這個(gè)詞經(jīng)常被人提起，但要量化其含義并不總是那么容易。Peasley建議尋找優(yōu)秀實(shí)踐的標(biāo)準(zhǔn)和法規(guī)。他說：“人們可以了解NIST標(biāo)準(zhǔn)、某些IEEE標(biāo)準(zhǔn)、ISA/IEC62443標(biāo)準(zhǔn)等。這些文件包括將安全性設(shè)計(jì)為工業(yè)產(chǎn)品以及測試和認(rèn)證這些產(chǎn)品的有用信息，并提出有效的網(wǎng)絡(luò)安全戰(zhàn)略。”他表示，物聯(lián)網(wǎng)安全涉及與企業(yè)不同的思維方式，以及保護(hù)傳統(tǒng)網(wǎng)絡(luò)設(shè)備和基礎(chǔ)設(shè)施設(shè)備的前景。例如，工業(yè)或醫(yī)療環(huán)境中的連接設(shè)備可能需要全天候正常運(yùn)行。Peasley說：“與企業(yè)環(huán)境相比，OT(運(yùn)營技術(shù))環(huán)境中的約束條件往往不同。在這種情況下，標(biāo)準(zhǔn)可以幫助正式制定一項(xiàng)全面的安全戰(zhàn)略，規(guī)定如何培訓(xùn)從開發(fā)人員到工程師的工作人員，同時(shí)定期評(píng)估組織的網(wǎng)絡(luò)安全狀況。”

6.采用實(shí)用主義應(yīng)對(duì)新技術(shù)進(jìn)行宣傳和炒作

從人工智能到5G的引入都會(huì)對(duì)網(wǎng)絡(luò)安全產(chǎn)生巨大影響，這一點(diǎn)很難避免進(jìn)行宣傳和炒作。

Howard對(duì)人工智能一詞的廣泛使用表示懷疑。他說：“我對(duì)人工智能的看法是，有太多的宣傳和炒作了。我對(duì)此感到困惑-——只是能夠區(qū)分我所認(rèn)為的人工智能，即機(jī)器根據(jù)數(shù)學(xué)模型做出獨(dú)立決策，而不是僅僅根據(jù)更智能的軟件。”

也就是說，部署機(jī)器學(xué)習(xí)來檢測可能指示安全漏洞的異常仍然有價(jià)值。在更廣闊的IT領(lǐng)域，術(shù)語“用于IT運(yùn)營的人工智能(AIOps)”已成為主流。德勤公司建議采用這一戰(zhàn)略，并采用一種涵蓋開發(fā)和運(yùn)營(稱為DevSecOps)的安全的設(shè)計(jì)方法來統(tǒng)一該策略。

關(guān)于5G的崛起可能對(duì)物聯(lián)網(wǎng)安全和網(wǎng)絡(luò)安全產(chǎn)生的總體影響，Howard建議研究前幾代蜂窩技術(shù)的跡象，以獲得對(duì)未來可能的跡象。他說：“我猜測5G的首次亮相將遵循組織在3G、4G/LTE、LTE-M等領(lǐng)域看到的典型脆弱性曲線。換句話說，一旦標(biāo)準(zhǔn)在現(xiàn)實(shí)世界中生效，入站攻擊就會(huì)增加。”

一旦5G的高帶寬風(fēng)格變得司空見慣，它可能會(huì)導(dǎo)致人們急于擴(kuò)大許多類型的物聯(lián)網(wǎng)設(shè)備的無線能力。Howard說：“用戶交會(huì)連接到很多從未打算連接的設(shè)備上。”

7.邊緣計(jì)算并不是一種安全解決方案

邊緣計(jì)算的主要市場推廣之一是其在網(wǎng)絡(luò)安全方面的優(yōu)勢。這一前提下的基本邏輯是，在將計(jì)算盡可能地遠(yuǎn)離生成數(shù)據(jù)的位置時(shí)，這會(huì)網(wǎng)絡(luò)使攻擊者的目標(biāo)更加困難。雖然在一定程度上可能是正確的，但事實(shí)確實(shí)有一個(gè)雙刃劍因素。Howard說：“通常在邊緣，組織只是沒有一個(gè)更集中的架構(gòu)中的安全控制。當(dāng)我聽到有人說：‘我將盡一切努力時(shí)，我會(huì)感到擔(dān)心。’”

Gartner公司等調(diào)研機(jī)構(gòu)的分析師并不認(rèn)為邊緣計(jì)算代表著偏離中央計(jì)算模型的趨勢。相反，他們將其視為一種補(bǔ)充。從安全的角度來看，常見的混合邊緣云計(jì)算模型的前景提高了在發(fā)送到云端或核心數(shù)據(jù)中心的元數(shù)據(jù)中使用安全匿名控件的重要性。Howard說：“當(dāng)人們討論‘邊緣計(jì)算’時(shí)，基本上是從大數(shù)據(jù)集中提取功能，然后將這些功能發(fā)送回集中式數(shù)據(jù)存儲(chǔ)。

Howard強(qiáng)調(diào)，“無論如何，云計(jì)算是許多用例的默認(rèn)模型。云中的數(shù)據(jù)存儲(chǔ)非常便宜，因此，除非用戶進(jìn)行大量查詢，否則在云中存儲(chǔ)可能是一件合理的事情。”

8.網(wǎng)絡(luò)安全中的自動(dòng)化也是一種威脅

圍繞人工智能的話題可能還很多炒作，但實(shí)際上，無論是從進(jìn)攻還是防御方面，網(wǎng)絡(luò)安全的自動(dòng)化程度都在不斷提高。網(wǎng)絡(luò)釣魚并非唯一與物聯(lián)網(wǎng)有關(guān)的例子，但它說明了這一原理。著名的一次OT(運(yùn)營技術(shù))網(wǎng)絡(luò)安全攻擊(例如2015年由網(wǎng)絡(luò)引發(fā)的烏克蘭電力中斷)源自常規(guī)的網(wǎng)絡(luò)釣魚攻擊。鑒于暗網(wǎng)中提供的軟件工具可幫助網(wǎng)絡(luò)攻擊者簡化攻擊活動(dòng)，并對(duì)其目標(biāo)進(jìn)行研究，Howard認(rèn)為有針對(duì)性的網(wǎng)絡(luò)釣魚活動(dòng)被稱為“魚叉式網(wǎng)絡(luò)釣魚”，并且隨著時(shí)間的推移越來越嚴(yán)重。Howard說：“我們從客戶那里聽到這一信息?，F(xiàn)在魚叉式釣魚方式變得更加可信。”