物聯(lián)網(wǎng)不斷擴(kuò)大的攻擊面為網(wǎng)絡(luò)犯罪分子打開了危險的新視野,更為復(fù)雜的是,由于很多組織缺乏合格的網(wǎng)絡(luò)安全人才,并且圍繞著旨在幫助組織保護(hù)其網(wǎng)絡(luò)的幾種技術(shù)的宣傳和炒作令人困惑。
為了幫助組織應(yīng)對物聯(lián)網(wǎng)安全帶來的挑戰(zhàn),德勤公司風(fēng)險與金融咨詢合作伙伴,物聯(lián)網(wǎng)安全資深人士Sean Peasley以及Kudelski Security公司首席執(zhí)行官Andrew Howard對此進(jìn)行了探討。從網(wǎng)絡(luò)安全技能的差距、最小化供應(yīng)鏈風(fēng)險的挑戰(zhàn),以及從人工智能到5G的所有內(nèi)容,他們都參與其中。
1.對網(wǎng)絡(luò)人才抱有現(xiàn)實期望
眾所周知,很多組織缺少經(jīng)驗豐富的網(wǎng)絡(luò)安全專業(yè)人員。但是評估認(rèn)為,在短短幾年內(nèi),將會面臨短缺數(shù)百萬名網(wǎng)絡(luò)工作者的情況,這可能會給那些試圖保護(hù)其網(wǎng)絡(luò)、物聯(lián)網(wǎng)設(shè)備和IT系統(tǒng)的組織可能會產(chǎn)生某種程度的絕望。
Howard說:“圍繞網(wǎng)絡(luò)安全技能差距這個話題似乎一直是人們談?wù)摰呐c網(wǎng)絡(luò)安全有關(guān)的首要話題。但是,有關(guān)該主題的討論有時可能會偏離正軌。盡管網(wǎng)絡(luò)人才短缺是現(xiàn)實存在的,坦率地說,所有市場都存在短缺。”從美國到德國再到日本再到英國,這些國家的失業(yè)率不到4%。尋找網(wǎng)絡(luò)人才的組織應(yīng)該尋求在短期內(nèi)可能吸引哪些類型的專業(yè)人員,以幫助他們量化地降低其網(wǎng)絡(luò)風(fēng)險。
Howard說,網(wǎng)絡(luò)安全市場對于分析師的需求很大。他解釋說:“我認(rèn)為,在網(wǎng)絡(luò)安全組織結(jié)構(gòu)圖的頂端,并不缺少經(jīng)驗豐富的]員工。人們可能會說合格的員工短缺,但是我看到的是,當(dāng)組織并不難找到首席信息安全官,但通常很難負(fù)擔(dān)得起,這么因為對其市場需求很高。”
2.確保組織聘用的應(yīng)聘者是合格并且提供報酬
在支持網(wǎng)絡(luò)勞動力時,最好采用非傳統(tǒng)策略,但是一個陷阱是,在雇用高級職位的工作人員時,他們的資格可能并不合格。Howard說:“我所看到的令人擔(dān)憂的事情是,我與潛在客戶進(jìn)行了交談,這些客戶嚴(yán)重削弱了他們所在領(lǐng)域的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者的技能。”
網(wǎng)絡(luò)安全短缺是造成這個問題的原因之一。但是另一個原因是,企業(yè)董事會和領(lǐng)導(dǎo)者(例如首席執(zhí)行官和首席信息官)對哪些技能對網(wǎng)絡(luò)領(lǐng)袖至關(guān)重要缺乏了解。Howard說:人們往往對其必須為所需的專業(yè)技能付出的費用并不滿意。”
3.跟蹤第三方還不足以確保供應(yīng)鏈安全
去年,彭博社發(fā)表了一篇題為《黑客如何利用微小的芯片滲透到企業(yè)》的文章。這個故事引發(fā)了亞馬遜、蘋果和超微公司的爭議。盡管該文章的事實仍存爭議,但確實引起人們對一般供應(yīng)鏈攻擊威脅的關(guān)注。通常,德勤公司建議組織仔細(xì)考慮第三方軟件、硬件和服務(wù)的潛在安全影響。
一方面,越來越多的故事表明,威脅行為者正在尋找供應(yīng)鏈中的受害者。例如,歐洲航空公司空中客車公司(Airbus)已成為針對其供應(yīng)商的協(xié)同攻擊的一部分。今年早些時候,行業(yè)媒體報道了針對至少六個組織的供應(yīng)鏈攻擊。
Peasley說,大型企業(yè)有時會有數(shù)千家第三方供應(yīng)商,可能還會有數(shù)千家第四方和第五方供應(yīng)商。雖然規(guī)模較小的公司往往有較小的供應(yīng)商基礎(chǔ),但對供應(yīng)鏈的關(guān)注同樣重要。他說,“無論是將子組件放入組織可能構(gòu)建的產(chǎn)品中的供應(yīng)商,還是使用的軟件產(chǎn)品,組織都需要考慮它們使用的數(shù)據(jù)類型的所有不同網(wǎng)絡(luò)方面,以及可能嵌入到組織的環(huán)境或產(chǎn)品中的內(nèi)容類型。”
4.整合IT和OT團(tuán)隊對于網(wǎng)絡(luò)安全也至關(guān)重要
在許多工業(yè)和企業(yè)物聯(lián)網(wǎng)環(huán)境中,信息技術(shù)人員,IT和運營技術(shù)人員的集成是一個長期的主題。在網(wǎng)絡(luò)安全方面,由于傳統(tǒng)上網(wǎng)絡(luò)安全是前陣營的重點,因此將IT和OT集成的前景可能令人望而生畏。傳統(tǒng)上,保護(hù)工廠或精煉廠等OT(運營技術(shù))環(huán)境意味著將未經(jīng)授權(quán)的人員留在禁區(qū)外。現(xiàn)在,它具有防止黑客干預(yù)可能引起災(zāi)難的系統(tǒng)的前景?;羧A德說:“現(xiàn)在需要OT安全。”
在許多工業(yè)和企業(yè)物聯(lián)網(wǎng)環(huán)境中,IT(信息技術(shù))人員和OT(運營技術(shù))人員的融合是一個永恒的主題。就網(wǎng)絡(luò)安全而言,整合IT和OT的前景可能令人望而生畏,因為網(wǎng)絡(luò)安全歷來是組織關(guān)注的焦點。傳統(tǒng)上,保護(hù)OT(運營技術(shù))環(huán)境(如工廠或煉油廠)意味著不讓未經(jīng)授權(quán)的人員進(jìn)入限制區(qū)域?,F(xiàn)在,它包括防止黑客干預(yù)可能導(dǎo)致災(zāi)難的系統(tǒng)的前景。Howard說:“組織現(xiàn)在需要保證OT安全。”
同樣,在工業(yè)環(huán)境中謀求職業(yè)生涯的IT安全專業(yè)人員應(yīng)該明智地研究OT(運營技術(shù))環(huán)境中固有的傳統(tǒng)安全程序。許多工業(yè)組織已經(jīng)制定了數(shù)十年的安全計劃。Peasley說,“其傳統(tǒng)的IT安全專業(yè)人員的職責(zé)延伸到OT(運營技術(shù)),他們在安全方面需要有類似的看法,同時要仔細(xì)考慮煉油廠或工廠等連接設(shè)備的潛在安全影響。”
5.安全標(biāo)準(zhǔn)有助于通過設(shè)計實現(xiàn)安全
如今,“設(shè)計安全”這個詞經(jīng)常被人提起,但要量化其含義并不總是那么容易。Peasley建議尋找優(yōu)秀實踐的標(biāo)準(zhǔn)和法規(guī)。他說:“人們可以了解NIST標(biāo)準(zhǔn)、某些IEEE標(biāo)準(zhǔn)、ISA/IEC62443標(biāo)準(zhǔn)等。這些文件包括將安全性設(shè)計為工業(yè)產(chǎn)品以及測試和認(rèn)證這些產(chǎn)品的有用信息,并提出有效的網(wǎng)絡(luò)安全戰(zhàn)略。”他表示,物聯(lián)網(wǎng)安全涉及與企業(yè)不同的思維方式,以及保護(hù)傳統(tǒng)網(wǎng)絡(luò)設(shè)備和基礎(chǔ)設(shè)施設(shè)備的前景。例如,工業(yè)或醫(yī)療環(huán)境中的連接設(shè)備可能需要全天候正常運行。Peasley說:“與企業(yè)環(huán)境相比,OT(運營技術(shù))環(huán)境中的約束條件往往不同。在這種情況下,標(biāo)準(zhǔn)可以幫助正式制定一項全面的安全戰(zhàn)略,規(guī)定如何培訓(xùn)從開發(fā)人員到工程師的工作人員,同時定期評估組織的網(wǎng)絡(luò)安全狀況。”
6.采用實用主義應(yīng)對新技術(shù)進(jìn)行宣傳和炒作
從人工智能到5G的引入都會對網(wǎng)絡(luò)安全產(chǎn)生巨大影響,這一點很難避免進(jìn)行宣傳和炒作。
Howard對人工智能一詞的廣泛使用表示懷疑。他說:“我對人工智能的看法是,有太多的宣傳和炒作了。我對此感到困惑-——只是能夠區(qū)分我所認(rèn)為的人工智能,即機(jī)器根據(jù)數(shù)學(xué)模型做出獨立決策,而不是僅僅根據(jù)更智能的軟件。”
也就是說,部署機(jī)器學(xué)習(xí)來檢測可能指示安全漏洞的異常仍然有價值。在更廣闊的IT領(lǐng)域,術(shù)語“用于IT運營的人工智能(AIOps)”已成為主流。德勤公司建議采用這一戰(zhàn)略,并采用一種涵蓋開發(fā)和運營(稱為DevSecOps)的安全的設(shè)計方法來統(tǒng)一該策略。
關(guān)于5G的崛起可能對物聯(lián)網(wǎng)安全和網(wǎng)絡(luò)安全產(chǎn)生的總體影響,Howard建議研究前幾代蜂窩技術(shù)的跡象,以獲得對未來可能的跡象。他說:“我猜測5G的首次亮相將遵循組織在3G、4G/LTE、LTE-M等領(lǐng)域看到的典型脆弱性曲線。換句話說,一旦標(biāo)準(zhǔn)在現(xiàn)實世界中生效,入站攻擊就會增加。”
一旦5G的高帶寬風(fēng)格變得司空見慣,它可能會導(dǎo)致人們急于擴(kuò)大許多類型的物聯(lián)網(wǎng)設(shè)備的無線能力。Howard說:“用戶交會連接到很多從未打算連接的設(shè)備上。”
7.邊緣計算并不是一種安全解決方案
邊緣計算的主要市場推廣之一是其在網(wǎng)絡(luò)安全方面的優(yōu)勢。這一前提下的基本邏輯是,在將計算盡可能地遠(yuǎn)離生成數(shù)據(jù)的位置時,這會網(wǎng)絡(luò)使攻擊者的目標(biāo)更加困難。雖然在一定程度上可能是正確的,但事實確實有一個雙刃劍因素。Howard說:“通常在邊緣,組織只是沒有一個更集中的架構(gòu)中的安全控制。當(dāng)我聽到有人說:‘我將盡一切努力時,我會感到擔(dān)心。’”
Gartner公司等調(diào)研機(jī)構(gòu)的分析師并不認(rèn)為邊緣計算代表著偏離中央計算模型的趨勢。相反,他們將其視為一種補充。從安全的角度來看,常見的混合邊緣云計算模型的前景提高了在發(fā)送到云端或核心數(shù)據(jù)中心的元數(shù)據(jù)中使用安全匿名控件的重要性。Howard說:“當(dāng)人們討論‘邊緣計算’時,基本上是從大數(shù)據(jù)集中提取功能,然后將這些功能發(fā)送回集中式數(shù)據(jù)存儲。
Howard強調(diào),“無論如何,云計算是許多用例的默認(rèn)模型。云中的數(shù)據(jù)存儲非常便宜,因此,除非用戶進(jìn)行大量查詢,否則在云中存儲可能是一件合理的事情。”
8.網(wǎng)絡(luò)安全中的自動化也是一種威脅
圍繞人工智能的話題可能還很多炒作,但實際上,無論是從進(jìn)攻還是防御方面,網(wǎng)絡(luò)安全的自動化程度都在不斷提高。網(wǎng)絡(luò)釣魚并非唯一與物聯(lián)網(wǎng)有關(guān)的例子,但它說明了這一原理。著名的一次OT(運營技術(shù))網(wǎng)絡(luò)安全攻擊(例如2015年由網(wǎng)絡(luò)引發(fā)的烏克蘭電力中斷)源自常規(guī)的網(wǎng)絡(luò)釣魚攻擊。鑒于暗網(wǎng)中提供的軟件工具可幫助網(wǎng)絡(luò)攻擊者簡化攻擊活動,并對其目標(biāo)進(jìn)行研究,Howard認(rèn)為有針對性的網(wǎng)絡(luò)釣魚活動被稱為“魚叉式網(wǎng)絡(luò)釣魚”,并且隨著時間的推移越來越嚴(yán)重。Howard說:“我們從客戶那里聽到這一信息?,F(xiàn)在魚叉式釣魚方式變得更加可信。”
京公網(wǎng)安備 11010502049343號