導(dǎo)讀:網(wǎng)絡(luò)安全仍是阻礙物聯(lián)網(wǎng)繼續(xù)飛速發(fā)展的主要原因,對(duì)安全性的擔(dān)憂(yōu)降低了使用物聯(lián)網(wǎng)設(shè)備的可能。
網(wǎng)絡(luò)安全仍是阻礙物聯(lián)網(wǎng)繼續(xù)飛速發(fā)展的主要原因,對(duì)安全性的擔(dān)憂(yōu)降低了使用物聯(lián)網(wǎng)設(shè)備的可能。
事實(shí)上,貝恩咨詢(xún)公司的研究發(fā)現(xiàn),如果企業(yè)客戶(hù)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的擔(dān)憂(yōu)問(wèn)題得到解決,他們將愿意購(gòu)買(mǎi)更多的物聯(lián)網(wǎng)設(shè)備,且至少平均比他們擔(dān)憂(yōu)這些問(wèn)題未解決時(shí)購(gòu)買(mǎi)的設(shè)備多70%。此外,調(diào)查的93%高管表示他們會(huì)為安全性更高的設(shè)備平均多支付22%的費(fèi)用。綜合而言,貝恩估計(jì)提高這些設(shè)備安全性可以使物聯(lián)網(wǎng)網(wǎng)絡(luò)安全市場(chǎng)增長(zhǎng)90億美元至110億美元。導(dǎo)致這種市場(chǎng)需求的原因之一可能是《歐盟通用數(shù)據(jù)保護(hù)法規(guī)》(GDPR)等新法規(guī)帶來(lái)的壓力越來(lái)越大,這些法規(guī)對(duì)安全性不足(包括數(shù)據(jù)泄露)的公司提出了嚴(yán)格的數(shù)據(jù)保護(hù)要求和懲罰。
本文展現(xiàn)了研究和調(diào)查工作的結(jié)果,包括與首席執(zhí)行官、首席運(yùn)營(yíng)官、首席信息官、首席信息安全官以及其他有關(guān)網(wǎng)絡(luò)安全和物聯(lián)網(wǎng)技術(shù)的商業(yè)和技術(shù)領(lǐng)導(dǎo)者的討論。顯而易見(jiàn),最先進(jìn)網(wǎng)絡(luò)安全的公司高管也最關(guān)心安全性問(wèn)題。
物聯(lián)網(wǎng)設(shè)備供應(yīng)商是制造物聯(lián)網(wǎng)設(shè)備的公司以及提供相關(guān)解決方案的公司,他們目標(biāo)明確:提高安全性以獲得競(jìng)爭(zhēng)優(yōu)勢(shì)并擴(kuò)大市場(chǎng)。
客戶(hù)對(duì)網(wǎng)絡(luò)安全的看法
所調(diào)查的大多數(shù)高管(60%)表示他們非常關(guān)注物聯(lián)網(wǎng)設(shè)備給他們公司帶來(lái)的風(fēng)險(xiǎn)。這并不奇怪,因?yàn)槲锫?lián)網(wǎng)安全漏洞可能對(duì)運(yùn)營(yíng)、收入和安全造成損害。當(dāng)保護(hù)不當(dāng)時(shí),物聯(lián)網(wǎng)設(shè)備可以允許訪問(wèn)企業(yè)系統(tǒng),從而導(dǎo)致大量數(shù)據(jù)泄露。
帶病毒設(shè)備也可能被利用,以對(duì)企業(yè)惡意攻擊。2016年10月,Mirai惡意軟件攻擊破壞了數(shù)千個(gè)傳感器、攝像頭和其他設(shè)備,產(chǎn)生了一個(gè)龐大的僵尸網(wǎng)絡(luò),并發(fā)起了分布式拒絕服務(wù)攻擊,破壞了熱門(mén)網(wǎng)站(包括GitHub、Netflix、Twitter和Airbnb)。2018年1月,Okiru(Mirai變體)可侵入數(shù)十億物聯(lián)網(wǎng)產(chǎn)品中廣泛使用的ARC處理器,由此而被病毒入侵的物聯(lián)網(wǎng)設(shè)備也可以進(jìn)行點(diǎn)擊欺詐,導(dǎo)致廣告客戶(hù)每年損失數(shù)十億美元。遭病毒入侵設(shè)備也可用于挖掘加密貨幣,如比特幣和門(mén)羅幣。
在確定防范這些類(lèi)型攻擊的解決方案時(shí),物聯(lián)網(wǎng)設(shè)備供應(yīng)商可以根據(jù)網(wǎng)絡(luò)安全能力成熟度對(duì)其目標(biāo)客戶(hù)進(jìn)行細(xì)分。這種細(xì)分有助于根據(jù)典型需求確定不同的方法,并反映出企業(yè)客戶(hù)的能力不是靜態(tài)的而是向更高級(jí)別發(fā)展的現(xiàn)狀。研究發(fā)現(xiàn),處于最不發(fā)達(dá)端的客戶(hù)更有可能尋求簡(jiǎn)化和集成的安全解決方案,而那些具有更高級(jí)功能的客戶(hù)更愿意投資于最佳或定制的單點(diǎn)解決方案。
在各個(gè)細(xì)分市場(chǎng)中,幾乎所有高管都表示,物聯(lián)網(wǎng)設(shè)備對(duì)其組織構(gòu)成了中等或重大的風(fēng)險(xiǎn)。而相比那些網(wǎng)絡(luò)安全能力較弱的企業(yè),在網(wǎng)絡(luò)安全成熟度更高的公司中,主管人員看到的安全風(fēng)險(xiǎn)會(huì)更多。
研究還表明,某些行業(yè)的高管認(rèn)為所在行業(yè)的物聯(lián)網(wǎng)風(fēng)險(xiǎn)高于其他行業(yè)。耐用品、建筑工程、能源和公用事業(yè)、金融服務(wù)和技術(shù)行業(yè)的高管最有可能表達(dá)非常擔(dān)憂(yōu)的想法。這些擔(dān)憂(yōu)反映了行業(yè)現(xiàn)實(shí),而不僅僅是個(gè)別高管的看法。例如,在能源行業(yè)方面,石油和天然氣生產(chǎn)商在其油井和鉆井平臺(tái)上依賴(lài)數(shù)以萬(wàn)計(jì)的物聯(lián)網(wǎng)傳感器和復(fù)雜的生產(chǎn)控制裝置。能源公司使用來(lái)自這些物聯(lián)網(wǎng)設(shè)備的數(shù)據(jù),這些設(shè)備平均每天可超過(guò)一太字節(jié)(TB)的速度在運(yùn)行,以實(shí)時(shí)地調(diào)整其運(yùn)營(yíng)同時(shí)保持嚴(yán)格的安全閾值。完整性打折扣或破壞數(shù)據(jù)流動(dòng)都可能導(dǎo)致災(zāi)難性的破壞。
近一半的醫(yī)療保健高管認(rèn)為所在行業(yè)物聯(lián)網(wǎng)存在重大安全風(fēng)險(xiǎn)。醫(yī)院和診所越來(lái)越依賴(lài)來(lái)自各種供應(yīng)商的連接診斷監(jiān)測(cè)和護(hù)理服務(wù)設(shè)備,這些供應(yīng)商從第三方獲取組件。核磁共振、機(jī)器人輔助手術(shù)設(shè)備和藥物輸送泵都極大有可能受到未經(jīng)授權(quán)的訪問(wèn)。這將對(duì)患者安全構(gòu)成明顯威脅。2017年9月,美國(guó)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組發(fā)現(xiàn)了無(wú)線(xiàn)注射器輸液泵的漏洞,并警告說(shuō),如果不加以注意,可能對(duì)患者構(gòu)成重大威脅。
制造商對(duì)物聯(lián)網(wǎng)的使用也為工業(yè)環(huán)境帶來(lái)新風(fēng)險(xiǎn)。大型制造商可能會(huì)部署數(shù)千種物聯(lián)網(wǎng)設(shè)備,從傳感器到復(fù)雜的半自動(dòng)機(jī)器人。受病毒入侵的傳感器可能導(dǎo)致數(shù)據(jù)不準(zhǔn)確,從而阻礙管理層制定關(guān)鍵運(yùn)營(yíng)決策或制造嚴(yán)重影響整個(gè)價(jià)值鏈的庫(kù)存問(wèn)題。在工廠上可能會(huì)發(fā)現(xiàn)更大的風(fēng)險(xiǎn),因?yàn)槭軗p的機(jī)器人設(shè)備可能會(huì)引入微妙但危險(xiǎn)的活動(dòng),或?qū)と撕推渌O(shè)備造成更大的破壞和傷害。
客戶(hù)應(yīng)對(duì)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全的方案
與管理安全性的高管進(jìn)行的對(duì)話(huà)表明,客戶(hù)需要高效、易于集成和靈活部署的解決方案。公司根據(jù)其能力和供應(yīng)商所提供市場(chǎng)解決方案的可用性,采取一系列方法來(lái)滿(mǎn)足其安全需求(參見(jiàn)圖6)。目前使用的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全解決方案中,只有約三分之一來(lái)自物聯(lián)網(wǎng)設(shè)備供應(yīng)商,這表明供應(yīng)商要么不提供滿(mǎn)足消費(fèi)者需求的全面且高質(zhì)量的解決方案,要么他們不能很好地推廣方案。
貝恩的研究發(fā)現(xiàn),擁有最先進(jìn)網(wǎng)絡(luò)安全功能的公司更多地依賴(lài)于內(nèi)部開(kāi)發(fā)的安全解決方案,這不僅是因?yàn)樗麄兛赡苡懈鼜?fù)雜的需求,而且更有可能因?yàn)樗麄儞碛虚_(kāi)發(fā)自己解決方案的人才和能力。具有自組安全功能的公司在所研究的所有物聯(lián)網(wǎng)使用對(duì)象中,其對(duì)安全解決方案的需求最大。
供應(yīng)商未能滿(mǎn)足客戶(hù)對(duì)網(wǎng)絡(luò)安全的需求
貝恩還研究了公司如何通過(guò)層層部署安全解決方案,并為物聯(lián)網(wǎng)設(shè)備供應(yīng)商在每層找到了充足的機(jī)會(huì)。
貝恩調(diào)查發(fā)現(xiàn),訪問(wèn)接口層具有最高級(jí)別的保護(hù),無(wú)論是內(nèi)部開(kāi)發(fā)還是由制造商或第三方提供。其他層由更多內(nèi)部解決方案保護(hù),或者在某些情況下根本沒(méi)有保護(hù)??蛻?hù)對(duì)內(nèi)部解決方案的偏好可以通過(guò)考慮每個(gè)安全層的特定條件得到部分解釋。
例如,數(shù)據(jù)安全解決方案通常需要比基本物聯(lián)網(wǎng)設(shè)備上當(dāng)前可用的計(jì)算和功率資源更多的計(jì)算和功率資源。麻省理工學(xué)院的研究人員創(chuàng)造了一種新的芯片,可以使用1/400的功率和1/10的內(nèi)存,以當(dāng)前芯片速度的500倍速度對(duì)物聯(lián)網(wǎng)設(shè)備進(jìn)行加密。但是,在這項(xiàng)新技術(shù)被廣泛采用之前,制造商需要在設(shè)計(jì)方案時(shí),繼續(xù)平衡這一要求與物聯(lián)網(wǎng)設(shè)備的尺寸、成本和功率。
硬件安全解決方案必須解決物理接口(如USB或以太網(wǎng)端口)、設(shè)備操作系統(tǒng)和固件的漏洞。但很少有制造商在發(fā)貨之前充分測(cè)試硬件是否存在已知漏洞,大部分設(shè)備不足在進(jìn)行持續(xù)測(cè)試期間因新漏洞而暴露不足。
最后,IT安全操作必須管理和監(jiān)控其物聯(lián)網(wǎng)設(shè)備,并結(jié)合來(lái)自其他五個(gè)層的日志數(shù)據(jù)進(jìn)行。雖然大多數(shù)企業(yè)都希望擁有一套緊密結(jié)合的工具,并且能夠全面了解其設(shè)備的安全狀況,但很少有物聯(lián)網(wǎng)設(shè)備制造商能夠很好地了解客戶(hù)的運(yùn)營(yíng)情況,從而提供這種解決方案。盡管如此,他們?nèi)匀豢梢耘c客戶(hù)合作,確定可信賴(lài)的第三方,作為開(kāi)發(fā)全面安全解決方案的合作伙伴。
總的來(lái)說(shuō),這些類(lèi)型的制造商缺點(diǎn)可能使客戶(hù)在考慮通過(guò)各個(gè)安全層以保護(hù)其物聯(lián)網(wǎng)設(shè)備時(shí)自行研發(fā)方案。由于缺乏精心設(shè)計(jì)的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全產(chǎn)品和服務(wù),客戶(hù)正在設(shè)計(jì)自己的解決方案,完全放棄使用解決方案或直到供應(yīng)商滿(mǎn)足自身要求才能實(shí)施相應(yīng)方案。
物聯(lián)網(wǎng)設(shè)備供應(yīng)商獲取市場(chǎng)份額的方法
物聯(lián)網(wǎng)設(shè)備供應(yīng)商和生態(tài)系統(tǒng)參與者迅速采取行動(dòng)以提高物聯(lián)網(wǎng)設(shè)備的安全性,這不僅可以從他們獲得溢價(jià)的能力中獲得回報(bào),還可以幫助他們擴(kuò)展市場(chǎng)。物聯(lián)網(wǎng)生態(tài)系統(tǒng)中的一些領(lǐng)導(dǎo)者正在加緊應(yīng)對(duì)安全挑戰(zhàn),并抓住其中的機(jī)會(huì)。亞馬遜創(chuàng)建了一個(gè)與其云產(chǎn)品集成的物聯(lián)網(wǎng)解決方案生態(tài)系統(tǒng)。它最近獲得了一個(gè)名為FreeRTOS的開(kāi)源操作系統(tǒng)的許可,該系統(tǒng)可以更輕松地開(kāi)發(fā)、部署、管理和保護(hù)低功耗物聯(lián)網(wǎng)設(shè)備,并可通過(guò)有助于物聯(lián)網(wǎng)設(shè)備管理以及數(shù)據(jù)和網(wǎng)絡(luò)安全的庫(kù)和工具對(duì)其進(jìn)行增強(qiáng)。
同樣,微軟的Azure IoT Hub以設(shè)備配置、身份驗(yàn)證和安全連接的形式提供設(shè)備管理和安全功能。另一個(gè)例子是GE(一家工業(yè)物聯(lián)網(wǎng)設(shè)備制造商),其將網(wǎng)絡(luò)安全視為競(jìng)爭(zhēng)優(yōu)勢(shì),并在戰(zhàn)略上努力將功能嵌入其物聯(lián)網(wǎng)技術(shù)的各個(gè)層面。GE于2014年收購(gòu)了Wurldtech,并最終將Achilles安全產(chǎn)品與Predix IoT管理平臺(tái)集成在一起。從運(yùn)營(yíng)的角度來(lái)看,GE將風(fēng)險(xiǎn)管理和產(chǎn)品安全責(zé)任分配給整個(gè)組織的專(zhuān)職領(lǐng)導(dǎo)者,他們確保將網(wǎng)絡(luò)安全優(yōu)先考慮并實(shí)施到其產(chǎn)品中,包括物聯(lián)網(wǎng)設(shè)備。這些努力代表著重要的進(jìn)步,但它們本身并不足以解決使用物聯(lián)網(wǎng)所面臨的更廣泛的安全問(wèn)題。所有物聯(lián)網(wǎng)設(shè)備供應(yīng)商都需要在設(shè)備的設(shè)計(jì)、開(kāi)發(fā)和部署中更加注重安全性。下面四個(gè)步驟可以幫助高管完成這個(gè)任務(wù)。
首先,制造商需要了解客戶(hù)如何使用他們的設(shè)備。通過(guò)每12-18個(gè)月刷新一次認(rèn)識(shí)客戶(hù)使用案例來(lái)保持最新情況,這將使制造商能夠掌握不斷變化的安全要求并幫助確定未滿(mǎn)足的需求。確定其客戶(hù)的平均網(wǎng)絡(luò)安全成熟度水平將有助于制造商投資適當(dāng)?shù)募从煤透郊咏鉀Q方案。例如,自行開(kāi)發(fā)方案客戶(hù)傾向于尋求經(jīng)濟(jì)效益而不是最新最佳的解決方案。
其次,制造商應(yīng)在設(shè)備上提供網(wǎng)絡(luò)安全功能,并在可能的情況下與可信賴(lài)的網(wǎng)絡(luò)安全供應(yīng)商合作,以提供其他解決方案。工程團(tuán)隊(duì)?wèi)?yīng)將安全開(kāi)發(fā)實(shí)踐嵌入到設(shè)備的軟件和硬件組件中,并為訪問(wèn)接口、應(yīng)用程序、數(shù)據(jù)和設(shè)備層提供固有的解決方案。無(wú)論網(wǎng)絡(luò)安全成熟度如何,大多數(shù)客戶(hù)都將使用這些可即用的功能。 采取這些措施可以減少物聯(lián)網(wǎng)設(shè)備中的常見(jiàn)漏洞,例如默認(rèn)或嵌入式密碼、缺乏數(shù)據(jù)安全性的網(wǎng)絡(luò)憑證和網(wǎng)絡(luò)通信,以及確保系統(tǒng)完整性的薄弱安全措施。制造商還可以與網(wǎng)絡(luò)安全供應(yīng)商合作,在數(shù)據(jù)、網(wǎng)絡(luò)和運(yùn)營(yíng)層提供售后解決方案,有選擇地將這些解決方案集成到某些客戶(hù)群中。例如,具有一致安全性的客戶(hù)傾向于選擇集成解決方案,而實(shí)踐企業(yè)則尋求最佳解決方案而不是集成解決方案。
第三,制造商還需要滿(mǎn)足質(zhì)量保證,并能夠證明他們的物聯(lián)網(wǎng)設(shè)備沒(méi)有已知的漏洞。對(duì)于有時(shí)安裝新設(shè)備但未發(fā)現(xiàn)其中包含漏洞的客戶(hù)而言,這將減輕主要的危險(xiǎn)點(diǎn)。部署更有條理的流程來(lái)識(shí)別和刪除跨安全層的漏洞或參與第三方漏洞掃描和滲透測(cè)試企業(yè)可以幫助制造商,這些做法都可滿(mǎn)足這一需求。定義具有明確義務(wù)的網(wǎng)絡(luò)安全保修期可告知客戶(hù),供應(yīng)商負(fù)責(zé)的內(nèi)容以及持續(xù)時(shí)間。綜合而言,這些措施是網(wǎng)絡(luò)安全最佳辦法,可用于安全要求高的設(shè)備。
最后,制造商可以在保修期內(nèi)通過(guò)不斷測(cè)試新的漏洞、提供軟件和固件更新以及提供可即用和售后解決方案的特性和功能升級(jí)。在整個(gè)保修期內(nèi),為了應(yīng)對(duì)新發(fā)現(xiàn)的安全漏洞而提供對(duì)固件、操作系統(tǒng)和應(yīng)用程序的更新應(yīng)始終是首要任務(wù)。
這四個(gè)步驟是一個(gè)開(kāi)始,但絕不是解決阻礙物聯(lián)網(wǎng)發(fā)展的安全問(wèn)題的全部?jī)?nèi)容。雖然物聯(lián)網(wǎng)市場(chǎng)的增長(zhǎng)似乎注定勢(shì)不可擋,但許多企業(yè)客戶(hù)將繼續(xù)謹(jǐn)慎行事,直到他們能夠合理地確保其數(shù)據(jù)的安全性,并確保在越來(lái)越依賴(lài)于設(shè)備、傳感器和物聯(lián)網(wǎng)的情況下,公司整體運(yùn)營(yíng)的安全性。
(原標(biāo)題:網(wǎng)絡(luò)安全成物聯(lián)網(wǎng)發(fā)展一大瓶頸 高效解決方案有望推動(dòng)110億美元增長(zhǎng))