企业组织必须采用“SecuritybyDesign”(安全设计方法),以最佳姿态应对物联网带来的威胁。毫无疑问,物联网(IoT)和工业物联网(IIoT)的兴起为企业组织带来了新的发展机遇,但同时也带来了巨大的网络安全风险和不断扩大的攻击面向企业组织。然而,一项针对组织对其IoT设备的风险敞口的调查发现,许多公司仍然没有意识到他们在使用连接设备时面临的风险范围,并且在管理这些威胁方面落后。安全专家建议组织采用“设计安全”方法来设计和部署物联网(IoT)和工业物联网(IIoT)产品。这种方法涉及将网络安全实践默认构建到产品设计以及产品实施环境中。安全设计通过在构建产品的第一步解决安全问题来节省时间并降低成本。在对跨行业和职位的4,200多名专业人士进行的一项调查中,近一半(48%)的受访者表示,在开发或部署连接的产品或设备时,必须将DevSecOps嵌入整个生命周期,并且团队需要进行法律、采购、和合规性工作贯穿整个部署。物联网前10大安全风险以下是组织必须解决的当前物联网环境中产生的前10大安全风险:1.没有安全和隐私计划;2.缺乏推动安全和隐私的所有权/管理;纳入产品和生态系统设计;4、工程师和架构师的安全意识和培训不够;5.缺乏IoT/IIoT和产品安全与隐私资源;6.用于检测安全事件的设备和系统监控不足7.缺乏上市后监控/安全和隐私风险管理的实施;8.缺乏产品知名度或完整的产品库存;9.识别和处理现场和遗留产品的风险;10.缺乏经验/不成熟的事件响应流程。Deloitte&ToucheLLP网络风险服务的物联网安全负责人肖恩·皮斯利(SeanPeasley)在一份新闻稿中表示:“安全必须嵌入到运营计划的DNA中,以推动企业创造出色且安全的产品。”如今,各种各样的产品正在成为网络的一部分:从烤箱到即时炊具,从3D打印机到汽车。组织必须考虑实际存在的问题,并将这些新挑战作为优先事项。如何通过设计创造物联网安全(SecuritybyDesign)德勤发布的调查结果发现,许多企业(41%)表示他们正在寻求行业和专业团体的指导,以在其业务中通过设计创造安全。另有28%的受访者表示,他们希望监管实体和机构率先制定标准,而22%的受访者表示,他们已经在企业内部实施了自己的安全实践。德勤分析师表示,在寻求监管机构的指导之前,组织应首先寻求了解同行的最佳实践和标准。大约30%的受访者表示他们没有使用一套明确的产品网络安全要求,而只有28%的受访者表示他们使用了行业定义的框架,而41%的受访者表示他们使用了客户的框架,表明该行业仍然有采用网络安全标准还有很长的路要走。安全专家认为,对于那些希望通过设计将安全集成到物联网产品中的企业,需要考虑五个因素:1.了解产品安全的现状并制定网络策略无论是设计联网产品还是购买此类产品对于内部实施,必须评估产品(包括它产生的数据)并制定网络战略以推动改进。2.建立安全设计实践,通过需求、风险评估、威胁建模和安全测试,将设计安全融入到产品本身的设计或生态中3.从顶层定下基调,确保合适的人参与并采取过程的所有权——从领导层到相关的产品安全主题专家再到产品开发设计团队。4.拥有一支专业的团队并为他们提供足够的资源不要指望企业安全团队能够在没有任务资源的情况下成功完成任务。建立一个具有基于产品经验的专业团队并根据需要提供培训,5.利用行业可用资源与其为您的设备供应商开发和提供独特的调查问卷,不如使用公开可用的行业资源更容易和更直接。威胁正在上升,你准备好了吗?2020年,随着5G部署的不断展开,攻击也将随之而来。任何时候连接的东西越多,安全问题就越多。使情况复杂化的是,许多工业环境都部署了过时的遗留设备。恶意黑客将开始针对这些环境造成严重后果,例如未经授权修改配置——这可能导致工业流程无法按预期运行,从而导致工业事故、停电,甚至环境灾难。没有产品设计师愿意创建没有安全性的互联产品。幸运的是,鉴于物联网安全现在受到关注,情况正在改善。“SecuritybyDesign”(安全设计方法)逐渐被业界认可并付诸实践。
