众位分析师于2014年9月15到16日将齐聚阿联酋迪拜,在Gartner安全与风险管理峰会上探讨网络安全与物联网议题。
根据Gartner公司给出的预测性结论,截至2017年底将有超过两成企业利用物联网设备及服务构建数字化安全服务体系、从而实现业务项目保护。目前利用物联网设备实现特定诉求的商业案例已经切实存在,而物联网在业务及行业中逐步提升的重要地位也将迫使更多企业接纳并为之设计安全保护机制。
“物联网设备在改变环境状态及自身属性方面表现出的强大能力将促使首席信息安全官(简称CISO)们重新定义自己的安全事务努力方向,并在现有形式之外展望更为广泛的发展空间,”Gartner公司研究事务副总裁Earl Perkins指出。“物联网安全需求将由特定业务用例所驱动,这些用例往往难于改变而又种类繁多,要求CISO根据战略风险程度进行优先级排序、从而初步实现联网场景的引入。保障物联网安全所带来的现实要求相当复杂,CISO需要利用包括移动技术与云架构在内的多种手段加以实现,同时将工业控制、自动化与物理安全等因素融合为一套整体性方案。”
Gartner公司预测称,除PC、平板设备以及智能手机之外的“物”安装规模将在2020年年内达到260亿台,这几乎相当于2009年9亿台数量的30倍。能够实现物联网功能的客户设备组件的平均成本将在1美元左右,而且届时未得到切实使用的“幽灵”联网设备也将大量出现甚至成为常态。
到2020年,物联网供应商所提供的产品与服务在营收总额方面很可能将达到3090亿美元。而由物联网带给各个行业的附加经济价值到2020年更将突破1.9万亿美元大关,到那时超过八成的物联网业务营收都由服务实现。能够率先通过物联网获得附加价值的行业包括制造业、医疗服务供应商、保险、银行业以及安全行业等。不过这种迅猛的增长势头绝不仅限于上述行业,而是逐步拓展至各行各业中的每一个角落。
“在物联网的世界中,信息将作为最基础的‘燃料’型资源被用于通过设备对物理环境状态进行变更,而这里所指的设备并非具备通用能力的计算机、而是那些面向特定目标进行设计的设备与服务,”Perkins解释道。“物联网将成为IT安全发展历程中的显著拐点——而CISO则将成为由此带来的统辖与管理难题中的先驱与开拓者。”
Perkins同时指出,Gartner公司在研究报告中所认定的一系列推动性因素——包括云计算、社交媒体、移动与信息技术等——正在推动着物联网迎来早期发展机遇。物联网目前已经受到无数商用及消费级技术用例的认可与采用,其中包括联网家居、网络汽车、可穿戴设备、医疗设备智能传感器系统乃至智能城市与设备管理方案。
智能化且指向专一设计目的的设备拥有自己的特点,即通过联网实现信息交付并对自身或者周边环境进行状态变更,并已经被广泛应用在OT系统当中——例如实现工业控制及自动化(这部分应用有时被称为‘工业物联网’)。不过为物联网提供安全保护也成为CISO必须面对的新型难题,相关技术及服务在类型、规模以及复杂程度等方面都提出了极高挑战。
“就目前来说,还没有一套切实可用的‘物联网安全保护指南’供CISO们参考,也没有现成且适用于全部行业及用例的物联网原则性协作框架可资借鉴。目前物联网设备的准确定义仍然未能明确,因此物联网安全保护也依旧是个悬而未决的概念性目标。不过对于CISO们来说,制定一套临时性策略规划还是完全可行的,即利用一套‘自下而上’的方案对当前可用的物联网设备加以保护,”Perkins给出了自己的见解。“Gartner公司并不建议安全领导者们直接起草一份宏观性战略指导方针,尝试在其中包含所有可能面临的物联网安全需求。相反,CISO们应当通过从能否为特定业务用例提供更出色的控制与性能表现角度出发,借此降低物联网可能带来的剩余风险。而由这些初始用例所积累得到的经验将成为未来解决更为广泛的物联网安全问题的战略起点与稳固基石。”