虽然物联网和工业物联网的兴起为组织带来了新的好处,但它们也带来了巨大的网络安全风险和不断扩大的攻击面。然而,根据报告组织了解物联网设备的风险暴露情况,许多公司未能认识到他们在使用连接设备时面临的风险范围。
根据该报告,安全设计通过在构建产品时第一次解决安全问题来节省时间并降低成本。在一项针对各行业和职位的4,200多名专业人士的调查中,近一半的人表示,在开发或部署互联产品或设备时,必须在整个生命周期内嵌入团队合作,合法,采购和跨部署合规性。
以下是组织必须解决的当前物联网环境所产生的十大安全风险:
- 没有安全和隐私计划
- 缺乏所有权/治理来推动安全和隐私
- 安全性未纳入产品和生态系统的设计中
- 对工程师和建筑师的安全意识和培训不足
- 缺乏物联网 / 工业物联网以及产品安全和隐私资源
- 对设备和系统的监控不足以检测安全事件
- 缺乏上市后/实施安全和隐私风险管理
- 缺乏产品可见性或没有完整的产品库存
- 识别和处理现场和遗留产品的风险
- 没有经验/不成熟的事件响应过程
安全需要融入运营计划的DNA中,以使组织能够拥有出色的产品并绝对安全。今天,各种各样的产品正在成为网络的一部分:从烤箱到即时炊具,从3D打印机到汽车。组织需要考虑真正存在的问题,并将这些挑战视为优先事项。
如何按设计创建物联网安全性
许多组织表示他们正在寻求行业和专业团体的指导,以便在他们的业务中创建设计安全性。另有28%的受访者表示,他们希望监管机构和机构首先制定标准,22%的受访者表示他们在内部开发了自己的做法。
组织应该首先寻求了解同行的最佳实践和标准,然后向监管机构寻求信息,告知他们的策略。
大约30%的受访者表示他们没有使用一套明确的产品网络安全要求,而只有28%的受访者表示他们使用行业定义的框架,41%的受访者表示他们使用的是客户框架,这表明行业在采用网络安全标准方面还有很长的路要走。
对于寻求将设计安全性实施到物联网产品中的组织,有五个考虑因素:
了解产品安全的当前状态并制定网络战略:无论是设计连接产品还是获取此类产品以在内部实施,都要评估产品包括其生产的数据的保护方式,并制定网络战略以推动改进。
建立逐个设计的实践:通过需求,风险评估,威胁建模和安全测试,将设计安全性集成到产品本身的设计或生态系统体系结构的设计中。
从顶部设定基调:确保合适的人员参与并拥有流程的所有权 - 从领导到相关的产品安全主题专家到产品团队。
拥有一支专门的团队并为他们提供充足的资源:不要指望企业安全团队在没有为他们增加新资源的情况下完成任务;建立一支专注的团队,拥有基于产品的经验,并根据需要提供培训,以增加知识。
利用行业可用资源:使用公开的行业资源,而不是为您的设备供应商开发和提供独特的调查问卷。