物联网安全性与IT安全性不同。行业专家有关如何很大程度地减少与物联网相关的网络风险的经验进行了分享。
物联网不断扩大的攻击面为网络犯罪分子打开了危险的新视野,更为复杂的是,由于很多组织缺乏合格的网络安全人才,并且围绕着旨在帮助组织保护其网络的几种技术的宣传和炒作令人困惑。
为了帮助组织应对物联网安全带来的挑战,德勤公司风险与金融咨询合作伙伴,物联网安全资深人士Sean Peasley以及Kudelski Security公司首席执行官Andrew Howard对此进行了探讨。从网络安全技能的差距、最小化供应链风险的挑战,以及从人工智能到5G的所有内容,他们都参与其中。
1.对网络人才抱有现实期望
众所周知,很多组织缺少经验丰富的网络安全专业人员。但是评估认为,在短短几年内,将会面临短缺数百万名网络工作者的情况,这可能会给那些试图保护其网络、物联网设备和IT系统的组织可能会产生某种程度的绝望。
Howard说:“围绕网络安全技能差距这个话题似乎一直是人们谈论的与网络安全有关的首要话题。但是,有关该主题的讨论有时可能会偏离正轨。尽管网络人才短缺是现实存在的,坦率地说,所有市场都存在短缺。”从美国到德国再到日本再到英国,这些国家的失业率不到4%。寻找网络人才的组织应该寻求在短期内可能吸引哪些类型的专业人员,以帮助他们量化地降低其网络风险。
Howard说,网络安全市场对于分析师的需求很大。他解释说:“我认为,在网络安全组织结构图的顶端,并不缺少经验丰富的]员工。人们可能会说合格的员工短缺,但是我看到的是,当组织并不难找到首席信息安全官,但通常很难负担得起,这么因为对其市场需求很高。”
2.确保组织聘用的应聘者是合格并且提供报酬
在支持网络劳动力时,最好采用非传统策略,但是一个陷阱是,在雇用高级职位的工作人员时,他们的资格可能并不合格。Howard说:“我所看到的令人担忧的事情是,我与潜在客户进行了交谈,这些客户严重削弱了他们所在领域的网络安全领导者的技能。”
网络安全短缺是造成这个问题的原因之一。但是另一个原因是,企业董事会和领导者(例如首席执行官和首席信息官)对哪些技能对网络领袖至关重要缺乏了解。Howard说:人们往往对其必须为所需的专业技能付出的费用并不满意。”
3.跟踪第三方还不足以确保供应链安全
去年,彭博社发表了一篇题为《黑客如何利用微小的芯片渗透到企业》的文章。这个故事引发了亚马逊、苹果和超微公司的争议。尽管该文章的事实仍存争议,但确实引起人们对一般供应链攻击威胁的关注。通常,德勤公司建议组织仔细考虑第三方软件、硬件和服务的潜在安全影响。
一方面,越来越多的故事表明,威胁行为者正在寻找供应链中的受害者。例如,欧洲航空公司空中客车公司(Airbus)已成为针对其供应商的协同攻击的一部分。今年早些时候,行业媒体报道了针对至少六个组织的供应链攻击。
Peasley说,大型企业有时会有数千家第三方供应商,可能还会有数千家第四方和第五方供应商。虽然规模较小的公司往往有较小的供应商基础,但对供应链的关注同样重要。他说,“无论是将子组件放入组织可能构建的产品中的供应商,还是使用的软件产品,组织都需要考虑它们使用的数据类型的所有不同网络方面,以及可能嵌入到组织的环境或产品中的内容类型。”
4.整合IT和OT团队对于网络安全也至关重要
在许多工业和企业物联网环境中,信息技术人员,IT和运营技术人员的集成是一个长期的主题。在网络安全方面,由于传统上网络安全是前阵营的重点,因此将IT和OT集成的前景可能令人望而生畏。传统上,保护工厂或精炼厂等OT(运营技术)环境意味着将未经授权的人员留在禁区外。现在,它具有防止黑客干预可能引起灾难的系统的前景。霍华德说:“现在需要OT安全。”
在许多工业和企业物联网环境中,IT(信息技术)人员和OT(运营技术)人员的融合是一个永恒的主题。就网络安全而言,整合IT和OT的前景可能令人望而生畏,因为网络安全历来是组织关注的焦点。传统上,保护OT(运营技术)环境(如工厂或炼油厂)意味着不让未经授权的人员进入限制区域。现在,它包括防止黑客干预可能导致灾难的系统的前景。Howard说:“组织现在需要保证OT安全。”
同样,在工业环境中谋求职业生涯的IT安全专业人员应该明智地研究OT(运营技术)环境中固有的传统安全程序。许多工业组织已经制定了数十年的安全计划。Peasley说,“其传统的IT安全专业人员的职责延伸到OT(运营技术),他们在安全方面需要有类似的看法,同时要仔细考虑炼油厂或工厂等连接设备的潜在安全影响。”
5.安全标准有助于通过设计实现安全
如今,“设计安全”这个词经常被人提起,但要量化其含义并不总是那么容易。Peasley建议寻找优秀实践的标准和法规。他说:“人们可以了解NIST标准、某些IEEE标准、ISA/IEC62443标准等。这些文件包括将安全性设计为工业产品以及测试和认证这些产品的有用信息,并提出有效的网络安全战略。”他表示,物联网安全涉及与企业不同的思维方式,以及保护传统网络设备和基础设施设备的前景。例如,工业或医疗环境中的连接设备可能需要全天候正常运行。Peasley说:“与企业环境相比,OT(运营技术)环境中的约束条件往往不同。在这种情况下,标准可以帮助正式制定一项全面的安全战略,规定如何培训从开发人员到工程师的工作人员,同时定期评估组织的网络安全状况。”
6.采用实用主义应对新技术进行宣传和炒作
从人工智能到5G的引入都会对网络安全产生巨大影响,这一点很难避免进行宣传和炒作。
Howard对人工智能一词的广泛使用表示怀疑。他说:“我对人工智能的看法是,有太多的宣传和炒作了。我对此感到困惑-——只是能够区分我所认为的人工智能,即机器根据数学模型做出独立决策,而不是仅仅根据更智能的软件。”
也就是说,部署机器学习来检测可能指示安全漏洞的异常仍然有价值。在更广阔的IT领域,术语“用于IT运营的人工智能(AIOps)”已成为主流。德勤公司建议采用这一战略,并采用一种涵盖开发和运营(称为DevSecOps)的安全的设计方法来统一该策略。
关于5G的崛起可能对物联网安全和网络安全产生的总体影响,Howard建议研究前几代蜂窝技术的迹象,以获得对未来可能的迹象。他说:“我猜测5G的首次亮相将遵循组织在3G、4G/LTE、LTE-M等领域看到的典型脆弱性曲线。换句话说,一旦标准在现实世界中生效,入站攻击就会增加。”
一旦5G的高带宽风格变得司空见惯,它可能会导致人们急于扩大许多类型的物联网设备的无线能力。Howard说:“用户交会连接到很多从未打算连接的设备上。”
7.边缘计算并不是一种安全解决方案
边缘计算的主要市场推广之一是其在网络安全方面的优势。这一前提下的基本逻辑是,在将计算尽可能地远离生成数据的位置时,这会网络使攻击者的目标更加困难。虽然在一定程度上可能是正确的,但事实确实有一个双刃剑因素。Howard说:“通常在边缘,组织只是没有一个更集中的架构中的安全控制。当我听到有人说:‘我将尽一切努力时,我会感到担心。’”
Gartner公司等调研机构的分析师并不认为边缘计算代表着偏离中央计算模型的趋势。相反,他们将其视为一种补充。从安全的角度来看,常见的混合边缘云计算模型的前景提高了在发送到云端或核心数据中心的元数据中使用安全匿名控件的重要性。Howard说:“当人们讨论‘边缘计算’时,基本上是从大数据集中提取功能,然后将这些功能发送回集中式数据存储。
Howard强调,“无论如何,云计算是许多用例的默认模型。云中的数据存储非常便宜,因此,除非用户进行大量查询,否则在云中存储可能是一件合理的事情。”
8.网络安全中的自动化也是一种威胁
围绕人工智能的话题可能还很多炒作,但实际上,无论是从进攻还是防御方面,网络安全的自动化程度都在不断提高。网络钓鱼并非唯一与物联网有关的例子,但它说明了这一原理。著名的一次OT(运营技术)网络安全攻击(例如2015年由网络引发的乌克兰电力中断)源自常规的网络钓鱼攻击。鉴于暗网中提供的软件工具可帮助网络攻击者简化攻击活动,并对其目标进行研究,Howard认为有针对性的网络钓鱼活动被称为“鱼叉式网络钓鱼”,并且随着时间的推移越来越严重。Howard说:“我们从客户那里听到这一信息。现在鱼叉式钓鱼方式变得更加可信。” |
