上个月,工业互联网联盟(IIC)发布了其两篇论文中的第一篇:《物联网安全成熟度模型:描述和预期用途》,其主要是针对技术水平低下的物联网利益相关者的高级概述。
微软物联网标准首席策略师 Ron Zahavi在接受采访时表示,“这第一篇主要是为商务人员准备的,旨在帮助他们了解安全所需的东西,并协助他们将其转化为自己业务所需的成熟度等级。”
此外,第二篇为安全从业人员提供更多技术观点的论文预计将在今年夏季发布。Zahavi表示,“将两篇文章分开发布,是允许不同的组织和垂直行业有时间来开发可以与第二份技术文件一起发布的特定配置文件。”
这种新型物联网安全成熟度模型(SMM)的目的,是为所有行业部门(无论个人安全需求如何)提供单一的物联网安全成熟度模型,并将其与所有物联网实施关联起来,无论是家庭、办公室还是工厂。工业互联网联盟的指导原则是开发一种适用于所有行业的新模式——涵盖流程和技术,利用NIST和ISA-62443等现有框架而不是试图去替代它们,简单且可扩展,并且适合供所有现有的安全评估公司使用。
它从成熟度建模所需的三个主要维度开始:治理(Governance)、支持(Enablement)和强化(hardening)。每个维度包含不同的领域。
治理涵盖战略、实践和流程的运作和管理,如威胁建模和风险评估以及供应链管理。支持包括传统安全技术的操作和管理,如身份和访问管理、数据保护、资产管理以及物理管理等。强化则涵盖漏洞和补丁管理的运营、事件响应以及审计等方面。
概括而言,它就是流程、技术和操作。
然后在两个轴线上——“全面性”和“范围”——对每个领域和实践进行评估。Zahavi表示,“全面性”是关于将安全措施应用于维度、领域和实践的深度和一致性的程度。其可以分为四个级别(如果加上“没有”的话就是五个级别):最小的;临时性的(安全性往往是对被宣传的事件或问题的反应);一致的(使用最佳做法和标准,可能是集中管理解决方案而不是现场解决方案);以及形式化的(包括一个定义明确的流程来管理一切,并随着时间的推移将其持续改进)。
“范围”被定义为适合行业或系统需求的程度。主要分为三个层次:一般(没有具体评估与特定物联网部门的相关性);行业特定(根据行业特定需求实施安全错略-例如医疗保健行业可能与制造业不同);以及系统特定(安全实施与特定组织中特定系统的特定需求和风险保持一致)。Zahavi 评论道,对于系统特定的范围,零售组织可能希望在其PoS传感器和其供应链传感器之间进行细化。
将不同实践的“全面性”和“范围”相结合,使得组织能够在实际和目标级别,以及安全实施的细粒度级别上定义其物联网安全成熟度。
成熟的目标水平几乎是风险偏好的体现。这是一个业务功能,而不是安全功能。多年来,安全团队一直盲目运营,以致业务和安全之间的沟通很少。现在,这种情况正在发生改变。工业数字化和运营技术(简称OT,物联网设备的主要发源地)与信息技术的融合,以及随后发生的将物联网设备暴露于互联网上,正在改变安全故障的底线。
信息的丢失可能会造成高昂的代价,并损害品牌信誉,而其对制造业造成的损失更可能是灾难性的。针对工控系统攻击的日益增长,以及攻击对工业盈利造成的巨大影响已经引起了董事会的注意,董事会现在要求安全人员对其实施的物联网安全措施是否能够保障安全给出解释。如今,通过使用工业互联网联盟发布的物联网安全成熟度模型可以帮助更好地将安全性与业务优先级结合起来,并且有助于实现业务和安全的一致性。
工业互联网联盟建议称,可以让业务负责人指定成熟度目标,而安全团队则进行当前的成熟度评估。两个级别之间的差异可以通过差距分析来评估,从中可以制定弥合差距的路线图。该路线图的目标是让任何所需的安全性增强,从而进行成熟度级别的重新评估以及流程的重复。
完成这一过程所需的一个辅助工具是成熟度模板。工业互联网联盟希望不同行业的不同公司开发和发布可供其他组织使用的高级 IIC SMM 成熟度模型。
IIC采用这种新型物联网安全成熟度模型的意图是增强而不是替代现有的安全框架。
已经存在可以接受安全控制机制的公认框架。但是,举例而言,如果你看一下NIST所采用的控制表和映射表,你会发现,它们并没有达到评估“我为我的行业做了什么,以及我需要达到什么级别?”的水平。
他继续说道,“‘我们正在做什么?’答案是,我们正在为其创造更高层次的成熟度,这一点在所有其他框架中都没有得到满足—我们正在强化现有的安全框架,而不是想要取代它。例如,我们并没有建议特定的所需安全控制,而是映射SMM,而且我们将继续这样做(例如,NIST也是IIC成员),将实践和适当的成熟度等级映射到现有的框架和安全控制中。所以,其目的是,如果您拥有零售或医疗保健或制造业的配置文件,那么您应该能够定位自己的行业领域,然后回到那些现有的框架中,以更狭窄的视角来看待您需要部署哪些机制和控制以在自己的领域实现自己公司的目标成熟度。” |
