毋庸置疑，物聯(lián)網(wǎng)(IoT)和工業(yè)物聯(lián)網(wǎng)(IIoT)的興起為企業(yè)組織帶來了新的發(fā)展機遇，但同時，它們也為企業(yè)組織帶來了巨大的網(wǎng)絡安全風險以及不斷擴大的攻擊面。然而，一項針對企業(yè)組織對其物聯(lián)網(wǎng)設備的風險暴露情況進行的調(diào)查發(fā)現(xiàn)，許多公司仍未意識到使用連接設備時所面臨的風險范圍，并且對這些威脅的管理表現(xiàn)出非常滯后的狀態(tài)。

安全專家建議，企業(yè)組織應該采取一種“Security by Design”(安全設計方法)來設計和部署物聯(lián)網(wǎng)(IoT)和工業(yè)物聯(lián)網(wǎng)(IIoT)產(chǎn)品。這種方法涉及默認將網(wǎng)絡安全實踐納入產(chǎn)品的設計以及實施環(huán)境中。

Security by Design(安全設計)通過在構(gòu)建產(chǎn)品的首個環(huán)節(jié)解決安全問題，達到節(jié)省時間并降低成本的效果。在一項針對各行業(yè)和職位的4,200多名專業(yè)人士的調(diào)查中，近一半(48%)的受訪者表示，在開發(fā)或部署聯(lián)網(wǎng)產(chǎn)品或設備時，必須將DevSecOps嵌入到整個生命周期中，而且團隊在整個部署過程中都需要進行法律、采購以及合規(guī)性方面的工作。

十大物聯(lián)網(wǎng)安全風險

以下是企業(yè)組織必須解決的當前物聯(lián)網(wǎng)環(huán)境所產(chǎn)生的十大安全風險：

1. 沒有安全和隱私計劃;

2. 缺乏所有權(quán)/管理權(quán)來推動安全和隱私;

3. 安全性未納入產(chǎn)品和生態(tài)系統(tǒng)的設計中;

4. 對工程師和架構(gòu)師的安全意識和培訓不足;

5. 缺乏IoT / IIoT以及產(chǎn)品安全和隱私資源;

6. 對用于檢測安全事件的設備和系統(tǒng)監(jiān)控不足;

7. 缺乏市場后監(jiān)管/實施安全和隱私風險管理;

8. 缺乏產(chǎn)品可見性或沒有完整的產(chǎn)品庫存;

9. 識別和處理現(xiàn)場和遺留產(chǎn)品的風險;

10. 沒有經(jīng)驗/不成熟的事件響應過程。

德勤會計師事務所(Deloitte&Touche LLP)網(wǎng)絡風險服務的物聯(lián)網(wǎng)安全負責人Sean Peasley在一份新聞稿中表示：

如何創(chuàng)建物聯(lián)網(wǎng)Security by Design(安全設計)

德勤公司公布的調(diào)查結(jié)果發(fā)現(xiàn)，許多企業(yè)(41%)表示，他們正在尋求行業(yè)和專業(yè)團體的指導，以便在其業(yè)務中創(chuàng)建安全設計。另有28%的受訪者表示，他們期望監(jiān)管實體和機構(gòu)能夠首先制定標準，而22%的受訪者表示，他們已經(jīng)在企業(yè)內(nèi)部開展了自己的安全性做法。

德勤分析師表示，企業(yè)組織應該首先尋求了解同行的最佳實踐和標準，然后再向監(jiān)管機構(gòu)尋求指導。

大約30%的受訪者表示，他們沒有使用過一套明確的產(chǎn)品網(wǎng)絡安全要求，而只有28%的受訪者表示，他們使用了行業(yè)定義的框架，41%的受訪者表示，他們使用的是客戶的框架，這表明行業(yè)在采用網(wǎng)絡安全標準方面還有漫長的道路要走。

安全專家認為，對于尋求將設計安全性實施到物聯(lián)網(wǎng)產(chǎn)品中的企業(yè)來說，需要考慮如下五個因素：

1. 了解產(chǎn)品安全性的當前狀態(tài)并制定網(wǎng)絡戰(zhàn)略

無論是設計聯(lián)網(wǎng)產(chǎn)品還是購買此類產(chǎn)品在內(nèi)部實施，都必須要評估產(chǎn)品(包括其生產(chǎn)的數(shù)據(jù))的保護方式，并制定網(wǎng)絡戰(zhàn)略以推動改進。

2. 建立安全設計實踐

通過需求、風險評估、威脅建模和安全測試，將設計安全性集成到產(chǎn)品本身的設計或生態(tài)系統(tǒng)體系結(jié)構(gòu)的設計之中。

3. 從頂層設定基調(diào)

確保合適的人員參與并擁有流程的所有權(quán)——從領導到相關(guān)的產(chǎn)品安全主題專家再到產(chǎn)品開發(fā)設計團隊。

4. 擁有一支專業(yè)的團隊，并為他們提供充足的資源

不要指望企業(yè)安全團隊在缺乏任務資源的情況下能夠順利完成任務。建立一支專業(yè)的團隊，該團隊需要具備基于產(chǎn)品的經(jīng)驗，并根據(jù)需要為其提供培訓，以幫助他們積累知識。

5. 利用行業(yè)可用資源

與其為您的設備供應商開發(fā)和提供獨特的調(diào)查問卷，還不如使用公開的行業(yè)資源來得方便直接。

威脅不斷加劇，你準備好了嗎?

2020 年，隨著 5G 部署持續(xù)推出，攻擊也將接踵而至。無論何時，互聯(lián)的東西越多，安全問題就越多。而讓情況變得復雜的是，很多工業(yè)環(huán)境都部署著過時的遺留設備。惡意黑客將開始針對這些環(huán)境，帶來嚴重后果，比如對配置的非授權(quán)修改——可致工業(yè)過程未按既定方式運轉(zhuǎn)，因而造成工業(yè)事故、斷電，甚至環(huán)境災難。

沒有哪個產(chǎn)品設計者會想創(chuàng)建出毫無安全性可言的聯(lián)網(wǎng)產(chǎn)品。幸運的是，鑒于目前物聯(lián)網(wǎng)安全所獲得的關(guān)注度，情況正在不斷改善。“Security by Design”(安全設計方法)也逐漸被行業(yè)認同并付諸實踐中。