[[341637]]

【51CTO.com快譯】隨著物聯(lián)網(wǎng)在組織的網(wǎng)絡(luò)中變得越來(lái)越普遍，有效的物聯(lián)網(wǎng)治理問(wèn)題也變得越來(lái)越重要。物聯(lián)網(wǎng)系統(tǒng)的治理與組織的各種系統(tǒng)產(chǎn)生的數(shù)據(jù)密切相關(guān)。

越來(lái)越多的組織使用物聯(lián)網(wǎng)設(shè)備挖掘更多數(shù)據(jù)來(lái)推動(dòng)其業(yè)務(wù)運(yùn)營(yíng)，但物聯(lián)網(wǎng)治理卻相對(duì)有些落后。在正確采用物聯(lián)網(wǎng)之后，組織利用不斷增長(zhǎng)的物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)將帶來(lái)許多好處，其中包括提高收入和運(yùn)營(yíng)效率、降低成本，甚至創(chuàng)建新的業(yè)務(wù)模型。

但是，隨著越來(lái)越多的物聯(lián)網(wǎng)和邊緣計(jì)算設(shè)備在組織網(wǎng)絡(luò)中擴(kuò)散，對(duì)嚴(yán)格有效的物聯(lián)網(wǎng)治理模型的需求也越來(lái)越大。

Sectigo公司物聯(lián)網(wǎng)/嵌入式解決方案副總裁Alan Grau解釋說(shuō)：“從治理的角度來(lái)看，組織網(wǎng)絡(luò)中充斥著通常不安全、未經(jīng)認(rèn)證的設(shè)備，這引發(fā)了對(duì)合規(guī)性和網(wǎng)絡(luò)安全性的嚴(yán)重?fù)?dān)憂。由于設(shè)備安全性并沒(méi)有與物聯(lián)網(wǎng)的快速增長(zhǎng)保持同步，不安全的物聯(lián)網(wǎng)設(shè)備會(huì)使組織面臨既不安全又不合規(guī)的風(fēng)險(xiǎn)。”

這種缺乏可見(jiàn)性和由此帶來(lái)的不安全性得到Panaseer公司進(jìn)行的一項(xiàng)研究的證實(shí)。在這個(gè)研究中，組織的安全主管將物聯(lián)網(wǎng)設(shè)備視為其最不可見(jiàn)的資產(chǎn)。

Aptum科技公司的售前工程師Grant Duxbury說(shuō)，“組織在物聯(lián)網(wǎng)設(shè)備上很少能找到IP地址，即使有IP地址，也很難判斷這一設(shè)備的功能以及所連接的設(shè)備。而在不同位置包含多個(gè)設(shè)備的多個(gè)網(wǎng)絡(luò)中，其可見(jiàn)性將顯著下降。這使組織安全團(tuán)隊(duì)完全看不到某個(gè)物聯(lián)網(wǎng)設(shè)備帶來(lái)的風(fēng)險(xiǎn)，以及惡意行為者可以利用哪些漏洞。”

為了確保這些物聯(lián)網(wǎng)設(shè)備的安全性和合規(guī)性，組織可以按照以下步驟來(lái)確保物聯(lián)網(wǎng)管理。

1.檢查和安全審查

Duxbury建議，組織首次將物聯(lián)網(wǎng)設(shè)備注冊(cè)到生態(tài)系統(tǒng)中時(shí)需要進(jìn)行嚴(yán)格的檢查，并且應(yīng)該查看制造商關(guān)于安全配置設(shè)備最佳方法的指南。

他說(shuō)，“需要一份完整的清單將每個(gè)設(shè)備及其功能映射出來(lái)，以增加可見(jiàn)性，這將有助于在特定位置精確定位每個(gè)功能。還應(yīng)部署具有監(jiān)視、維護(hù)和自動(dòng)更新功能的端到端設(shè)備管理工具，以確保每個(gè)設(shè)備在其整個(gè)生命周期內(nèi)都得到有效管理。”

2.驗(yàn)證每個(gè)設(shè)備

Grau認(rèn)為，跨網(wǎng)絡(luò)處理物聯(lián)網(wǎng)治理的最重要方法是對(duì)每臺(tái)物聯(lián)網(wǎng)設(shè)備進(jìn)行身份驗(yàn)證。

他說(shuō)，“易受攻擊的物聯(lián)網(wǎng)設(shè)備等同于易受攻擊的網(wǎng)絡(luò)。安全性必須是全面的，并且必須從物聯(lián)網(wǎng)設(shè)備的身份驗(yàn)證開(kāi)始。”

Grau表示，采用物聯(lián)網(wǎng)網(wǎng)絡(luò)的組織需要超越弱身份驗(yàn)證解決方案(例如密碼)。取而代之的是，為了確保正確的物聯(lián)網(wǎng)治理，組織堅(jiān)持采用能夠洞悉網(wǎng)絡(luò)中每個(gè)設(shè)備并可以確保這些設(shè)備具有正確實(shí)施安全協(xié)議的管理系統(tǒng)。物聯(lián)網(wǎng)管理門(mén)戶通過(guò)確保所有設(shè)備都經(jīng)過(guò)認(rèn)證，并內(nèi)置正確的公開(kāi)密鑰基礎(chǔ)設(shè)施(PKI)解決方案，可以有效地管理網(wǎng)絡(luò)。”

3.治理結(jié)構(gòu)

SAP NS2公司首席信息安全官Ted Wagner表示，任何物聯(lián)網(wǎng)治理計(jì)劃中應(yīng)包含的主題是“軟件和硬件漏洞以及對(duì)安全性要求的遵從性(無(wú)論是基于法規(guī)還是基于策略)”。

他指的是在物聯(lián)網(wǎng)設(shè)備中發(fā)現(xiàn)軟件漏洞時(shí)的典型用例。在這種情況下，確定缺陷的嚴(yán)重性很重要。組織需要問(wèn)這些問(wèn)題：會(huì)導(dǎo)致安全事件嗎?需要多快才能解決?如果無(wú)法修補(bǔ)軟件，是否有另一種方法來(lái)保護(hù)物聯(lián)網(wǎng)設(shè)備或減輕風(fēng)險(xiǎn)?

Wagner說(shuō)，“應(yīng)對(duì)物聯(lián)網(wǎng)治理的一種良好方法是組織設(shè)立董事會(huì)作為治理結(jié)構(gòu)。提案將會(huì)提交給組織董事會(huì)，董事會(huì)通常由6至12名成員組成，他們討論新提案或變更的優(yōu)點(diǎn)。他們可以通過(guò)接收定期的漏洞報(bào)告(包括有關(guān)漏洞的趨勢(shì)或指標(biāo))來(lái)監(jiān)視諸如軟件漏洞之類的持續(xù)風(fēng)險(xiǎn)。有些組織的董事會(huì)擁有很多權(quán)力，而另一些董事會(huì)則可以充當(dāng)高管或決策者的咨詢職能。”

他補(bǔ)充說(shuō)，“為實(shí)現(xiàn)最佳的物聯(lián)網(wǎng)治理，組織需要透明性或風(fēng)險(xiǎn)可見(jiàn)性、識(shí)別特定風(fēng)險(xiǎn)的有效工作流程，以及采取行動(dòng)以降低組織風(fēng)險(xiǎn)的機(jī)制。”

4.數(shù)據(jù)隱私

Talend公司首席產(chǎn)品營(yíng)銷(xiāo)經(jīng)理Janet Liao警告說(shuō)，在物聯(lián)網(wǎng)治理方面，組織可能會(huì)做出下意識(shí)的反應(yīng)，為此應(yīng)該在任何治理計(jì)劃中優(yōu)先考慮數(shù)據(jù)隱私，而不是專注于加強(qiáng)數(shù)據(jù)安全。

她解釋說(shuō)，“物聯(lián)網(wǎng)的核心是始終保持聯(lián)系的概念。很多組織正在尋求捕獲、共享、使用生成的大量客戶數(shù)據(jù)來(lái)推動(dòng)競(jìng)爭(zhēng)優(yōu)勢(shì)。問(wèn)題在于，在遵循通用數(shù)據(jù)保護(hù)條例(GDPR)情況下，數(shù)據(jù)隱私的定義范圍很廣，組織在采用物聯(lián)網(wǎng)時(shí)可能會(huì)遇到很多麻煩。這是因?yàn)樵摲ㄒ?guī)對(duì)組織施加了更多的責(zé)任，以滿足特定的隱私要求。這意味著組織必須采取適當(dāng)?shù)募夹g(shù)和措施，以確保不會(huì)侵犯人們隱私?？杀氖牵瑢?duì)于大多數(shù)組織而言，這尚未得到適當(dāng)解決，因此，隨著引入物聯(lián)網(wǎng)產(chǎn)生的數(shù)據(jù)，它將變得越來(lái)越復(fù)雜。”

5.物聯(lián)網(wǎng)治理取決于產(chǎn)生的數(shù)據(jù)

CCS Insight公司首席運(yùn)營(yíng)官M(fèi)artin Garner解釋說(shuō)：“物聯(lián)網(wǎng)治理不應(yīng)該和物聯(lián)網(wǎng)所使用的產(chǎn)品或流程分離。圍繞使用自動(dòng)駕駛汽車(chē)或工廠機(jī)器人的治理問(wèn)題將決定物聯(lián)網(wǎng)系統(tǒng)的要求。其治理范圍包括機(jī)器連接的強(qiáng)度、軟件堆棧、任何機(jī)器學(xué)習(xí)和人工智能的質(zhì)量。”

他繼續(xù)說(shuō)：“影響物聯(lián)網(wǎng)治理的關(guān)鍵領(lǐng)域是將物聯(lián)網(wǎng)內(nèi)置到機(jī)器中以提高工業(yè)流程效率，或幫助員工更好地工作并保持安全。它可以包括使組織銷(xiāo)售的產(chǎn)品更好地工作或允許使用其他業(yè)務(wù)模型。這些方法中的每一個(gè)都有不同的治理要求。物聯(lián)網(wǎng)系統(tǒng)的治理與這些系統(tǒng)產(chǎn)生的數(shù)據(jù)密切相關(guān)，這些數(shù)據(jù)對(duì)用戶或組織來(lái)說(shuō)十分重要。”

原文標(biāo)題：IoT governance: how to deal with the compliance and security challenges，原文作者：Nick Ismail

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】