虽然物联网和工业物联网的兴起为组织带来了新的好处,但它们也带来了重大的网络安全风险和不断扩大的攻击面。然而,根据了解物联网设备风险暴露的报告组织,许多公司未能认识到他们在使用连接设备时面临的风险范围。根据该报告,安全设计通过在构建产品时首次解决安全问题来节省时间并降低成本。在对4,200多名跨行业和职位的专业人士进行的一项调查中,近一半的人表示,在开发或部署互联产品或设备时,团队合作、法律、采购和交叉部署必须贯穿整个生命周期合规性。以下是组织必须解决的当前IoT环境造成的十大安全风险:没有安全和隐私计划缺乏所有权/治理来推动安全和隐私安全性没有内置到产品和生态系统的设计中工程师和架构师的安全意识不足和培训缺乏IoT/IIoT和产品安全和隐私资源对设备和系统的监控不足以检测安全事件缺乏上市后/实施安全和隐私风险管理缺乏产品可见性或完整的产品库存识别和处理风险现场和遗留产品缺乏经验/不成熟的事件响应流程安全需要融入运营计划的DNA中,以使组织能够拥有出色的产品并绝对安全。如今,各种各样的产品正在成为网络的一部分:从烤箱到即时炊具,从3D打印机到汽车。组织需要考虑真正的问题并将这些挑战放在首位。如何通过设计创建物联网安全性许多组织表示,他们正在寻求行业和专业团体的指导,了解如何通过设计在其业务中创建安全性。另有28%的人表示他们希望监管机构和机构首先制定标准,22%的人表示他们已经在内部制定了自己的做法。组织应首先寻求了解同行的最佳实践和标准,然后从监管机构那里寻求信息以告知其战略。大约30%的受访者表示他们没有使用一套明确的产品网络安全要求,而只有28%的人表示他们使用了行业定义的框架,41%的人表示他们使用了客户框架,这表明该行业还有很长的路要走去采用网络安全标准。对于希望通过设计在IoT产品中实现安全性的组织,有五个考虑因素:它产生的数据受到保护,并制定网络战略以推动改进。建立逐个设计实践:通过需求、风险评估、威胁建模和安全测试,将设计安全融入到产品本身的设计或生态系统架构的设计中。自上而下设定基调:确保合适的人员参与并拥有流程的所有权-从领导层到相关的产品安全主题专家再到产品团队。拥有专门的团队并为他们提供充足的资源:不要指望企业安全团队在不向他们添加新资源的情况下完成工作;建立一支具有基于产品经验的专门团队,并根据需要提供培训,以增加知识。利用行业可用资源:使用公开可用的行业资源,而不是开发和向您的设备供应商提供独特的调查问卷。
