物联网安全与IT安全不同。行业专家分享了他们关于如何最大限度地减少与物联网相关的网络风险的经验。物联网不断扩大的攻击面为网络犯罪分子开辟了危险的新视野,许多组织缺乏合格的网络安全人才以及围绕旨在帮助组织保护其网络的多种技术的炒作以及炒作令人困惑。为了帮助组织应对物联网安全带来的挑战,德勤风险与财务咨询合伙人SeanPeasley、物联网安全资深人士和KudelskiSecurity首席执行官安德鲁霍华德对此进行了讨论。他们参与了从网络安全技能差距到最小化供应链风险的挑战,以及从人工智能到5G的方方面面。1.对网络人才抱有现实的期望众所周知,许多组织缺乏经验丰富的网络安全专业人员。但评估发现,短短几年内就会出现数百万网络工作者的短缺,这可能会给试图保护其网络、物联网设备和IT系统的组织带来一定程度的绝望。“围绕网络安全技能差距的话题似乎是人们谈论的与网络安全相关的首要话题,”霍华德说。“然而,关于这个话题的讨论有时会偏离主题。坦率地说,虽然网络安全技能差距是一个现实,但所有市场都存在短缺。”从美国到德国再到日本再到英国,失业率低于4%。寻找网络人才的组织应该看看短期内可能吸引哪些类型的专业人员,以帮助他们量化地降低网络风险。分析师们在霍华德说:“网络安全市场的需求量很大。”他解释说:“我认为网络安全组织结构图的顶端并不缺少[有经验的]人。人们可能会说合格人才短缺,但我看到的是,组织并不难找到首席信息安全官,但由于市场需求旺盛,往往难以负担。”2.确保组织雇用合格的候选人并支付他们非传统策略在支持网络劳动力时是最好的,但一个陷阱是,员工在被雇用时可能不具备担任高级职位的资格。霍华德说:“我看到的令人担忧的事情是,我曾与潜在客户交谈过,他们在各自领域的网络安全领导者技能严重不足。”网络安全短缺是导致问题一的原因。但另一个原因是,公司董事会和领导者(例如CEO和CIO)缺乏对哪些技能对网络领导力至关重要的理解。霍华德说:人们常常对他们为所需专业知识所支付的金额感到不满。3.追踪第三方不足以确保供应链安全去年,彭博社发表了一篇名为《黑客如何利用微小的芯片渗透到企业》的文章。这个故事在亚马逊、苹果和超微之间引发了争议。尽管文章的事实仍有争议,但确实提请人们注意一般供应链攻击的威胁。一般来说,德勤建议组织仔细考虑第三方软件、硬件和服务的潜在安全影响。一方面,越来越多的故事表明威胁行为者正在供应链中寻找受害者。例如,欧洲航空公司空中客车公司参与了对其供应商的协同攻击。今年早些时候,行业媒体报道了针对至少六个组织的供应链攻击。Peasley说,大型企业有时有数以千计的第三方供应商,可能还有数以千计的第四方和第五方供应商。虽然规模较小的公司往往拥有较小的供应商基础,但对供应链的关注同样重要。“无论是将子组件放入组织可能构建的产品中的供应商,还是他们使用的软件产品,组织都需要考虑他们使用的数据类型的所有不同网络方面,以及A内容类型4.整合IT和OT团队对网络安全也至关重要在许多工业和企业物联网环境中,信息技术人员、IT和运营技术人员的整合是一个长期存在的主题。前阵营的焦点,因此集成IT和OT的前景可能令人望而生畏。传统上,确保工厂或炼油厂等OT(运营技术)环境的安全意味着将未经授权的人员拒之门外。现在,它承诺防止黑客篡改可能导致灾难的系统。“现在需要OT安全,”Howard说。“IT(信息技术)的融合学)和OT(运营技术)人员是许多工业和企业物联网环境中不变的主题。在网络安全方面,集成IT和OT的前景可能令人望而生畏,因为网络安全历来是组织关注的焦点。传统上,确保工厂或炼油厂等OT(运营技术)环境的安全意味着将未经授权的人员拒之门外。现在,它包括防止黑客干扰具有潜在灾难性的系统的未来。霍华德说:“组织现在需要保护OT。”同样,在工业环境中谋求职业生涯的IT安全专业人员最好研究OT(运营技术)环境中固有的传统安全程序。几十年来,许多工业组织都制定了安全计划。“他们传统的IT安全专业人员的职责扩展到OT[运营技术],他们需要对安全有类似的看法,同时仔细考虑炼油厂或工厂等连接设备的潜在安全影响,”Peasley说。5.安全标准有助于通过设计实现安全“通过设计实现安全”一词如今被广泛使用,但量化其含义并不总是那么容易。Peasley建议寻找良好实践的标准和法规。“人们可以了解NIST标准、某些IEEE标准、ISA/IEC62443标准等。这些文件包括有关为工业产品设计安全性以及测试和认证这些产品的有用信息,并提出有效的网络安全策略,”他说。他说,物联网安全涉及与企业不同的思维方式以及保护传统网络设备和基础设施设备的前景。例如,工业或医疗环境中的连接设备可能需要24/7全天候运行。“与企业环境相比,OT(运营技术)环境中的约束通常不同,”Peasley说。“在这种情况下,标准可以帮助制定全面的安全策略,规定如何培训从开发人员到工程师的每个人。”员工,同时定期评估组织的网络安全状况。”6.对新技术的炒作和炒作应用实用主义从人工智能到5G,新技术的引入将对网络安全产生巨大影响,这种炒作和炒作很难避免。霍华德对人工智能一词的广泛使用持怀疑态度。“我对人工智能的看法是宣传和炒作太多了,”他说。“我对此感到困惑——只是能够区分我所认为的人工智能,即机器根据数学模型做出独立决策,而不只是基于更智能的软件。”也就是说,部署机器学习来检测可能表明存在安全漏洞的异常情况仍然有价值。在更广泛的IT领域,“IT运营人工智能(AIOps)”一词已成为主流。德勤建议采用这种策略并统一它采用涵盖开发和运营的安全设计方法(称为DevSecOps)。关于5G的兴起可能对物联网安全和网络安全产生的总体影响,霍华德建议研究前几代蜂窝技术的迹象,以便他说:“我的猜测是,5G的推出将遵循组织在3G、4G/LTE、LTE-M等方面看到的典型漏洞曲线。”换句话说,一旦标准在现实世界中上线,入站攻击将会增加。“一旦5G的高带宽特性变得司空见惯,它可能会导致人们急于扩展许多类型物联网设备的无线功能。用户将重新连接到许多原本不打算连接的设备,”霍华德说。7.边缘计算不是安全解决方案边缘计算的主要营销之一是其在网络安全方面的优势。这个前提背后的基本逻辑是,当计算距离尽可能远时,这使得网络更难成为攻击者的目标。虽然这在一定程度上可能是正确的,但事实确实有一个双刃剑因素。“通常在边缘,组织只是没有更集中的架构,”霍华德说。安全控制。当我听到有人说:‘我会尽我所能。’”Gartner等研究公司的分析师并不认为边缘计算与中央计算模型背道而驰。相反,他们将其视为一种补充。从安全的角度来看,常见的混合边缘云计算模型Prospects提出了在发送到云或核心数据中心的元数据中使用安全匿名控制的重要性。霍华德说:“当人们谈论‘边缘计算’时,它基本上是从大数据集中提取特征,然后发送回集中式数据存储。霍华德强调,“无论如何,云计算是许多用例的默认模型。云中的数据存储非常便宜,因此除非用户进行大量查询,否则存储在云中可能是一件合理的事情。”8.中国的网络安全自动化是一个威胁可能还会有很多炒作围绕人工智能,但现实是网络安全在进攻和防御方面都变得越来越自动化。网络钓鱼并不是唯一与物联网相关的例子,但它说明了这一原则。一个著名的OT(运营技术)网络安全攻击,例如2015年乌克兰因网络引发的停电,起源于常规的网络钓鱼攻击。鉴于暗网上可用的软件工具可以帮助网络攻击者简化他们的活动并对其目标进行研究,霍华德认为有针对性的网络钓鱼活动,被称为“鱼叉式网络钓鱼”,随着时间的推移而增长。变得越来越严重。“我们从客户那里听到了。鱼叉式网络钓鱼现在更加可信,”霍华德说。
