物聯網不斷擴大的攻擊面為網絡犯罪分子打開了危險的新視野，更為復雜的是，由于很多組織缺乏合格的網絡安全人才，并且圍繞著旨在幫助組織保護其網絡的幾種技術的宣傳和炒作令人困惑。

 

為了幫助組織應對物聯網安全帶來的挑戰，德勤公司風險與金融咨詢合作伙伴，物聯網安全資深人士Sean Peasley以及Kudelski Security公司首席執行官Andrew Howard對此進行了探討。從網絡安全技能的差距、最小化供應鏈風險的挑戰，以及從人工智能到5G的所有內容，他們都參與其中。

 

1.對網絡人才抱有現實期望

 

眾所周知，很多組織缺少經驗豐富的網絡安全專業人員。但是評估認為，在短短幾年內，將會面臨短缺數百萬名網絡工作者的情況，這可能會給那些試圖保護其網絡、物聯網設備和IT系統的組織可能會產生某種程度的絕望。

 

Howard說：“圍繞網絡安全技能差距這個話題似乎一直是人們談論的與網絡安全有關的首要話題。但是，有關該主題的討論有時可能會偏離正軌。盡管網絡人才短缺是現實存在的，坦率地說，所有市場都存在短缺。”從美國到德國再到日本再到英國，這些國家的失業率不到4%。尋找網絡人才的組織應該尋求在短期內可能吸引哪些類型的專業人員，以幫助他們量化地降低其網絡風險。

 

Howard說，網絡安全市場對于分析師的需求很大。他解釋說：“我認為，在網絡安全組織結構圖的頂端，并不缺少經驗豐富的]員工。人們可能會說合格的員工短缺，但是我看到的是，當組織并不難找到首席信息安全官，但通常很難負擔得起，這么因為對其市場需求很高。”

 

2.確保組織聘用的應聘者是合格并且提供報酬

 

在支持網絡勞動力時，最好采用非傳統策略，但是一個陷阱是，在雇用高級職位的工作人員時，他們的資格可能并不合格。Howard說：“我所看到的令人擔憂的事情是，我與潛在客戶進行了交談，這些客戶嚴重削弱了他們所在領域的網絡安全領導者的技能。”

 

網絡安全短缺是造成這個問題的原因之一。但是另一個原因是，企業董事會和領導者(例如首席執行官和首席信息官)對哪些技能對網絡領袖至關重要缺乏了解。Howard說：人們往往對其必須為所需的專業技能付出的費用并不滿意。”

 

3.跟蹤第三方還不足以確保供應鏈安全

 

去年，彭博社發表了一篇題為《黑客如何利用微小的芯片滲透到企業》的文章。這個故事引發了亞馬遜、蘋果和超微公司的爭議。盡管該文章的事實仍存爭議，但確實引起人們對一般供應鏈攻擊威脅的關注。通常，德勤公司建議組織仔細考慮第三方軟件、硬件和服務的潛在安全影響。

 

一方面，越來越多的故事表明，威脅行為者正在尋找供應鏈中的受害者。例如，歐洲航空公司空中客車公司(Airbus)已成為針對其供應商的協同攻擊的一部分。今年早些時候，行業媒體報道了針對至少六個組織的供應鏈攻擊。

 

Peasley說，大型企業有時會有數千家第三方供應商，可能還會有數千家第四方和第五方供應商。雖然規模較小的公司往往有較小的供應商基礎，但對供應鏈的關注同樣重要。他說，“無論是將子組件放入組織可能構建的產品中的供應商，還是使用的軟件產品，組織都需要考慮它們使用的數據類型的所有不同網絡方面，以及可能嵌入到組織的環境或產品中的內容類型。”

 

4.整合IT和OT團隊對于網絡安全也至關重要

 

在許多工業和企業物聯網環境中，信息技術人員，IT和運營技術人員的集成是一個長期的主題。在網絡安全方面，由于傳統上網絡安全是前陣營的重點，因此將IT和OT集成的前景可能令人望而生畏。傳統上，保護工廠或精煉廠等OT(運營技術)環境意味著將未經授權的人員留在禁區外?，F在，它具有防止黑客干預可能引起災難的系統的前景。霍華德說：“現在需要OT安全。”

 

在許多工業和企業物聯網環境中，IT(信息技術)人員和OT(運營技術)人員的融合是一個永恒的主題。就網絡安全而言，整合IT和OT的前景可能令人望而生畏，因為網絡安全歷來是組織關注的焦點。傳統上，保護OT(運營技術)環境(如工廠或煉油廠)意味著不讓未經授權的人員進入限制區域。現在，它包括防止黑客干預可能導致災難的系統的前景。Howard說：“組織現在需要保證OT安全。”

 

同樣，在工業環境中謀求職業生涯的IT安全專業人員應該明智地研究OT(運營技術)環境中固有的傳統安全程序。許多工業組織已經制定了數十年的安全計劃。Peasley說，“其傳統的IT安全專業人員的職責延伸到OT(運營技術)，他們在安全方面需要有類似的看法，同時要仔細考慮煉油廠或工廠等連接設備的潛在安全影響。”

 

5.安全標準有助于通過設計實現安全

 

如今，“設計安全”這個詞經常被人提起，但要量化其含義并不總是那么容易。Peasley建議尋找優秀實踐的標準和法規。他說：“人們可以了解NIST標準、某些IEEE標準、ISA/IEC62443標準等。這些文件包括將安全性設計為工業產品以及測試和認證這些產品的有用信息，并提出有效的網絡安全戰略。”他表示，物聯網安全涉及與企業不同的思維方式，以及保護傳統網絡設備和基礎設施設備的前景。例如，工業或醫療環境中的連接設備可能需要全天候正常運行。Peasley說：“與企業環境相比，OT(運營技術)環境中的約束條件往往不同。在這種情況下，標準可以幫助正式制定一項全面的安全戰略，規定如何培訓從開發人員到工程師的工作人員，同時定期評估組織的網絡安全狀況。”

 

6.采用實用主義應對新技術進行宣傳和炒作

 

從人工智能到5G的引入都會對網絡安全產生巨大影響，這一點很難避免進行宣傳和炒作。

 

Howard對人工智能一詞的廣泛使用表示懷疑。他說：“我對人工智能的看法是，有太多的宣傳和炒作了。我對此感到困惑-——只是能夠區分我所認為的人工智能，即機器根據數學模型做出獨立決策，而不是僅僅根據更智能的軟件。”

 

也就是說，部署機器學習來檢測可能指示安全漏洞的異常仍然有價值。在更廣闊的IT領域，術語“用于IT運營的人工智能(AIOps)”已成為主流。德勤公司建議采用這一戰略，并采用一種涵蓋開發和運營(稱為DevSecOps)的安全的設計方法來統一該策略。

 

關于5G的崛起可能對物聯網安全和網絡安全產生的總體影響，Howard建議研究前幾代蜂窩技術的跡象，以獲得對未來可能的跡象。他說：“我猜測5G的首次亮相將遵循組織在3G、4G/LTE、LTE-M等領域看到的典型脆弱性曲線。換句話說，一旦標準在現實世界中生效，入站攻擊就會增加。”

 

一旦5G的高帶寬風格變得司空見慣，它可能會導致人們急于擴大許多類型的物聯網設備的無線能力。Howard說：“用戶交會連接到很多從未打算連接的設備上。”

 

7.邊緣計算并不是一種安全解決方案

 

邊緣計算的主要市場推廣之一是其在網絡安全方面的優勢。這一前提下的基本邏輯是，在將計算盡可能地遠離生成數據的位置時，這會網絡使攻擊者的目標更加困難。雖然在一定程度上可能是正確的，但事實確實有一個雙刃劍因素。Howard說：“通常在邊緣，組織只是沒有一個更集中的架構中的安全控制。當我聽到有人說：‘我將盡一切努力時，我會感到擔心。’”

 

Gartner公司等調研機構的分析師并不認為邊緣計算代表著偏離中央計算模型的趨勢。相反，他們將其視為一種補充。從安全的角度來看，常見的混合邊緣云計算模型的前景提高了在發送到云端或核心數據中心的元數據中使用安全匿名控件的重要性。Howard說：“當人們討論‘邊緣計算’時，基本上是從大數據集中提取功能，然后將這些功能發送回集中式數據存儲。

 

Howard強調，“無論如何，云計算是許多用例的默認模型。云中的數據存儲非常便宜，因此，除非用戶進行大量查詢，否則在云中存儲可能是一件合理的事情。”

 

8.網絡安全中的自動化也是一種威脅

 

圍繞人工智能的話題可能還很多炒作，但實際上，無論是從進攻還是防御方面，網絡安全的自動化程度都在不斷提高。網絡釣魚并非唯一與物聯網有關的例子，但它說明了這一原理。著名的一次OT(運營技術)網絡安全攻擊(例如2015年由網絡引發的烏克蘭電力中斷)源自常規的網絡釣魚攻擊。鑒于暗網中提供的軟件工具可幫助網絡攻擊者簡化攻擊活動，并對其目標進行研究，Howard認為有針對性的網絡釣魚活動被稱為“魚叉式網絡釣魚”，并且隨著時間的推移越來越嚴重。Howard說：“我們從客戶那里聽到這一信息。現在魚叉式釣魚方式變得更加可信。”