物联网安全性与IT安全性有所不同,行业专家就如何将物联网相关网络风险降到低提出了建议。
物联网不断扩大的攻击面为从黑客到激进国家提供了危险的新视野。更为复杂的是,由于缺乏合格的网络安全人才,围绕着一些旨在帮助组织保护其网络多种技术的炒作令人困惑。
为了帮助组织应对物联网安全带来的挑战,调研机构德勤公司风险与金融咨询合作伙伴、物联网安全人士Sean Peasley以及安全厂商Kudelski Security公司执行官Andrew Howard为此进行了分析。他们从网络安全技能的差距、小化供应链风险的挑战,以及从人工智能到5G的所有内容的宣传中权衡一切。
1.对网络安全人才抱有现实期望
众所周知,缺乏经验丰富的网络安全专业人员。但是,如果评估认为几年内或即将出现数百万网络工作者的人员短缺,可能会给试图保护其网络、物联网设备和IT系统的组织带来一定程度的绝望。
Howard说:“围绕网络安全技能差距似乎一直是人们要谈论的与网络安全有关的首要话题。但是,有关该主题的讨论有时可能会偏离正轨。尽管网络人才短缺是现实的,但坦率地说,所有市场都存在短缺。”例如美国、德国、日本、英国这些国家的失业率不到4%。寻找网络人才的组织应该寻求在短期内可能吸引哪些类型的专业人员,以帮助他们量化地降低其网络风险。
Howard说,网络安全市场对网络安全人员的需求很大。他解释说:“我认为,在网络安全组织结构图的顶端,并不缺少经验丰富的员工。人们可能会争辩说缺少合格的人才,但是我看到的是,组织通常难以负担雇佣信息安全官的费用,因为市场需求太大。”
2.确保应聘者是合格且负担得起
组织在为网络员工提供支持时,采用非传统策略,但是面临的一个陷阱是,在聘请高级职位的员工时需要跳过资格要求。Howard说:“在我与潜在客户沟通时,很多人表示,其所在组织的网络安全**者往往能力不足。”
是的,网络安全短缺是导致此问题的一个因素。但是另一个因素是,企业董事会和**人(例如执行官和信息官)缺乏对哪些技能对网络**者至关重要的理解。Howard说:“对于所需的专业知识技能,组织所需要支付的费用常常被低估了。”
3.跟踪第三方还不足以确保供应链安全
彭博社在去年发表的一篇题为《大黑客:如何利用微小的芯片渗透到美国公司》的文章引发了亚马逊、苹果和Supermicro的争议,他们都对这篇报道的真实性提出了质疑。虽然这篇文章的真实性仍然存在争议,但它确实引起了人们对供应链攻击威胁的普遍关注。一般来说,德勤公司建议组织仔细考虑第三方软件、硬件和服务的潜在安全影响。
一方面,越来越多的事件表明,威胁行为者正在寻找供应链中的受害者。例如,欧洲空中客车公司(Airbus)已成为针对其供应商协同攻击的一部分。今年早些时候,《连线》报道了一场针对至少6家企业的供应链攻击。
Peasley表示,大型企业有时可能有数千个第三方供应商,并且可能还有成千上万的第四方和第五方,尽管规模较小的企业往往具有较小的供应商基础,但对供应链的关注同样重要。他说,“无论是供应商将子组件放入组织可能要构建的产品中,还是它是组织使用的软件产品,都需要考虑其使用的数据类型的所有不同网络方面,以及可能嵌入到组织的环境或产品中的事物类型。”
4.整合IT和OT团队对于网络安全也至关重要
在许多工业和企业物联网环境中,IT人员和运营技术(OT)人员的整合是一个长期的主题。在网络安全方面,由于传统上网络安全是人们关注的重点,因此将IT和运营技术(OT)整合的前景可能令人望而生畏。传统上,保护运营技术(OT)环境(如生产工厂或炼油厂)意味着不让未经授权的人员进入限制区域。现在,它包括防止黑客干预可能导致系统灾难的前景。Howard说:“运营技术(OT)在网络安全方面现在很受欢迎.”
同样,在工业环境中工作的IT安全专业人员应该明智地研究运营技术环境中固有的传统安全程序。许多工业组织已经制定了数十年的安全计划。Peasley说,“职责范围扩展到运营技术的传统IT安全专业人员需要对安全性有类似的看法,同时仔细考虑精炼厂或生产工厂物联网设备的潜在安全后果。”
5.安全标准可以通过设计思路实现安全
如今,“设计安全”这个词经常被人提起,但要量化其含义并不总是那么容易。Peasley建议寻找实践的标准和法规。他说:“例如NIST、IEEE、ISA/IEC 62443一些标准,这些标准包括将安全性设计为工业产品以及测试和认证这些产品的有用信息,并提出有效的市场网络安全战略。”他表示,物联网安全涉及“与企业不同的思维方式”,以及保护“传统网络设备和基础设施设备”的前景。例如,工业或医疗环境中的连接设备可能需要全天候正常运行。Peasley说:“与企业环境相比,运营技术环境中的约束条件往往不同。在这种情况下,标准可以帮助正式制定一个全面的安全战略,规定如何培训从开发人员到工程师的工作人员,同时定期评估组织的网络安全状况。”
6.采用实用主义减少对新技术进行炒作
从人工智能到5G的引入都会对网络安全产生巨大影响,这一点很难避免一些宣传和炒作。
Howard对人工智能一词的广泛使用表示怀疑。他说:“我对人工智能应用的看法是,现在有太多的炒作行为。我为此感到困惑。这只是能够区分我认为的人工智能,即基于数学模型而非智能软件做出独立决策的机器。”
话虽如此,部署机器学习来检测可能表明安全漏洞的异常仍然具有价值。在更广泛的IT领域中,“IT运营的人工智能(AIOps)”术语已成为主流。德勤公司建议采用该策略,并采用一种涵盖开发和运营(称为DevSecOps)安全的设计方法来统一使用该策略。
关于正在兴起的5G可能对物联网安全和网络安全产生的总体影响,Howard建议研究前几代蜂窝通信技术的迹象,以获得对未来可能的迹象。他说:“我猜测5G技术将遵循人们在3G、4G/LTE、LTE-M等领域看到的”典型脆弱性曲线。换句话说,一旦标准在现实世界中生效,入站攻击就会增加。
一旦高带宽的5G变得司空见惯,它可能会导致人们急于扩展许多类型的物联网设备的无线功能。Howard说:“组织将会连接到许多本不想连接的设备上。”
7.边缘计算并不能完全保证安全
边缘计算的核心营销策略之一是它在网络安全方面的所谓好处。这一前提下的基本逻辑是,在尽可能靠近生成数据的位置推出计算时,会使网络攻击者的目标更加困难。虽然这在一定程度上可能是正确的,但事实上有一个双刃剑的因素。Howard说:“通常,在边缘计算机只是没有安全控制,组织可能有一个更集中的架构。而当有人说:‘我要在边缘做所有的事’时,我对此感到很担心。”
Gartner公司分析师认为,边缘计算并不代表着一种偏离集中计算模型的钟摆。与其相反,他们认为这是一种补充。从安全角度来看,常见的混合边缘云模型的前景增强了在发送到云平台或核心数据中心的元数据中使用安全匿名控制的重要性。Howard说:“当人们谈到‘边缘计算’时,基本上是从大数据集中提取功能,然后将这些功能发送回集中的数据存储。”
无论如何,Gartner公司强调说,“云计算是许多用例的默认模型。云中的数据存储是如此便宜,以至于除非用户进行大量查询,否则存储在云中可能是一件合理的事情。”
8.网络安全中的自动化也是一种威胁
或许有人围绕人工智能的话题可能会大肆宣传和炒作,但实际上,无论是在进攻还是防御方面,网络安全中的自动化程度都在不断增长。网络钓鱼并非唯一与物联网有关的例子,但它说明了这一原理。运营技术(OT)网络安全攻击事件(例如2015年由网络引发的乌克兰电网中断事件)源自常规的网络钓鱼攻击。鉴于暗网的软件工具的可用性,可以帮助网络攻击者简化其活动并对其目标进行研究。
Howard认为有针对性的网络钓鱼活动(称为鱼叉式网络钓鱼活动)随着时间的推移将会越来越严重。他说:“我们从客户那里听到了关于这一事实的信息,鱼叉式钓鱼活动日趋严重如今变得更加可信。”