物聯(lián)網(wǎng)不斷擴大的攻擊面為從黑客到激進國家提供了危險的新視野。更為復(fù)雜的是，由于缺乏合格的網(wǎng)絡(luò)安全人才，圍繞著一些旨在幫助組織保護其網(wǎng)絡(luò)多種技術(shù)的炒作令人困惑。

 

為了幫助組織應(yīng)對物聯(lián)網(wǎng)安全帶來的挑戰(zhàn)，調(diào)研機構(gòu)德勤公司風(fēng)險與金融咨詢合作伙伴、物聯(lián)網(wǎng)安全資深人士Sean Peasley以及安全廠商Kudelski Security公司首席執(zhí)行官Andrew Howard為此進行了分析。他們從網(wǎng)絡(luò)安全技能的差距、最小化供應(yīng)鏈風(fēng)險的挑戰(zhàn)，以及從人工智能到5G的所有內(nèi)容的宣傳中權(quán)衡一切。

 

 

眾所周知，缺乏經(jīng)驗豐富的網(wǎng)絡(luò)安全專業(yè)人員。但是，如果評估認為幾年內(nèi)或即將出現(xiàn)數(shù)百萬網(wǎng)絡(luò)工作者的人員短缺，可能會給試圖保護其網(wǎng)絡(luò)、物聯(lián)網(wǎng)設(shè)備和IT系統(tǒng)的組織帶來一定程度的絕望。

 

Howard說：“圍繞網(wǎng)絡(luò)安全技能差距似乎一直是人們要談?wù)摰呐c網(wǎng)絡(luò)安全有關(guān)的首要話題。但是，有關(guān)該主題的討論有時可能會偏離正軌。盡管網(wǎng)絡(luò)人才短缺是現(xiàn)實的，但坦率地說，所有市場都存在短缺。”例如美國、德國、日本、英國這些國家的失業(yè)率不到4%。尋找網(wǎng)絡(luò)人才的組織應(yīng)該尋求在短期內(nèi)可能吸引哪些類型的專業(yè)人員，以幫助他們量化地降低其網(wǎng)絡(luò)風(fēng)險。

 

Howard說，網(wǎng)絡(luò)安全市場對網(wǎng)絡(luò)安全人員的需求很大。他解釋說：“我認為，在網(wǎng)絡(luò)安全組織結(jié)構(gòu)圖的頂端，并不缺少經(jīng)驗豐富的員工。人們可能會爭辯說缺少合格的人才，但是我看到的是，組織通常難以負擔(dān)雇傭首席信息安全官的費用，因為市場需求太大。”

 

 

組織在為網(wǎng)絡(luò)員工提供支持時，最好采用非傳統(tǒng)策略，但是面臨的一個陷阱是，在聘請高級職位的員工時需要跳過資格要求。Howard說：“在我與潛在客戶溝通時，很多人表示，其所在組織的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者往往能力不足。”

 

是的，網(wǎng)絡(luò)安全短缺是導(dǎo)致此問題的一個因素。但是另一個因素是，企業(yè)董事會和領(lǐng)導(dǎo)人(例如首席執(zhí)行官和首席信息官)缺乏對哪些技能對網(wǎng)絡(luò)領(lǐng)導(dǎo)者至關(guān)重要的理解。Howard說：“對于所需的專業(yè)知識技能，組織所需要支付的費用常常被低估了。”

 

 

彭博社在去年發(fā)表的一篇題為《大黑客：如何利用微小的芯片滲透到美國公司》的文章引發(fā)了亞馬遜、蘋果和Supermicro的爭議，他們都對這篇報道的真實性提出了質(zhì)疑。雖然這篇文章的真實性仍然存在爭議，但它確實引起了人們對供應(yīng)鏈攻擊威脅的普遍關(guān)注。一般來說，德勤公司建議組織仔細考慮第三方軟件、硬件和服務(wù)的潛在安全影響。

 

一方面，越來越多的事件表明，威脅行為者正在尋找供應(yīng)鏈中的受害者。例如，歐洲空中客車公司(Airbus)已成為針對其供應(yīng)商協(xié)同攻擊的一部分。今年早些時候，《連線》報道了一場針對至少6家企業(yè)的供應(yīng)鏈攻擊。

 

Peasley表示，大型企業(yè)有時可能有數(shù)千個第三方供應(yīng)商，并且可能還有成千上萬的第四方和第五方，盡管規(guī)模較小的企業(yè)往往具有較小的供應(yīng)商基礎(chǔ)，但對供應(yīng)鏈的關(guān)注同樣重要。他說，“無論是供應(yīng)商將子組件放入組織可能要構(gòu)建的產(chǎn)品中，還是它是組織使用的軟件產(chǎn)品，都需要考慮其使用的數(shù)據(jù)類型的所有不同網(wǎng)絡(luò)方面，以及可能嵌入到組織的環(huán)境或產(chǎn)品中的事物類型。”

 

 

在許多工業(yè)和企業(yè)物聯(lián)網(wǎng)環(huán)境中，IT人員和運營技術(shù)(OT)人員的整合是一個長期的主題。在網(wǎng)絡(luò)安全方面，由于傳統(tǒng)上網(wǎng)絡(luò)安全是人們關(guān)注的重點，因此將IT和運營技術(shù)(OT)整合的前景可能令人望而生畏。傳統(tǒng)上，保護運營技術(shù)(OT)環(huán)境(如生產(chǎn)工廠或煉油廠)意味著不讓未經(jīng)授權(quán)的人員進入限制區(qū)域?，F(xiàn)在，它包括防止黑客干預(yù)可能導(dǎo)致系統(tǒng)災(zāi)難的前景。Howard說：“運營技術(shù)(OT)在網(wǎng)絡(luò)安全方面現(xiàn)在很受歡迎.”

 

同樣，在工業(yè)環(huán)境中工作的IT安全專業(yè)人員應(yīng)該明智地研究運營技術(shù)環(huán)境中固有的傳統(tǒng)安全程序。許多工業(yè)組織已經(jīng)制定了數(shù)十年的安全計劃。Peasley說，“職責(zé)范圍擴展到運營技術(shù)的傳統(tǒng)IT安全專業(yè)人員需要對安全性有類似的看法，同時仔細考慮精煉廠或生產(chǎn)工廠物聯(lián)網(wǎng)設(shè)備的潛在安全后果。”

 

 

如今，“設(shè)計安全”這個詞經(jīng)常被人提起，但要量化其含義并不總是那么容易。Peasley建議尋找最佳實踐的標準和法規(guī)。他說：“例如NIST、IEEE、ISA/IEC 62443一些標準，這些標準包括將安全性設(shè)計為工業(yè)產(chǎn)品以及測試和認證這些產(chǎn)品的有用信息，并提出有效的市場網(wǎng)絡(luò)安全戰(zhàn)略。”他表示，物聯(lián)網(wǎng)安全涉及“與企業(yè)不同的思維方式”，以及保護“傳統(tǒng)網(wǎng)絡(luò)設(shè)備和基礎(chǔ)設(shè)施設(shè)備”的前景。例如，工業(yè)或醫(yī)療環(huán)境中的連接設(shè)備可能需要全天候正常運行。Peasley說：“與企業(yè)環(huán)境相比，運營技術(shù)環(huán)境中的約束條件往往不同。在這種情況下，標準可以幫助正式制定一個全面的安全戰(zhàn)略，規(guī)定如何培訓(xùn)從開發(fā)人員到工程師的工作人員，同時定期評估組織的網(wǎng)絡(luò)安全狀況。”

 

 

從人工智能到5G的引入都會對網(wǎng)絡(luò)安全產(chǎn)生巨大影響，這一點很難避免一些宣傳和炒作。

 

Howard對人工智能一詞的廣泛使用表示懷疑。他說：“我對人工智能應(yīng)用的看法是，現(xiàn)在有太多的炒作行為。我為此感到困惑。這只是能夠區(qū)分我認為的人工智能，即基于數(shù)學(xué)模型而非智能軟件做出獨立決策的機器。”

 

話雖如此，部署機器學(xué)習(xí)來檢測可能表明安全漏洞的異常仍然具有價值。在更廣泛的IT領(lǐng)域中，“IT運營的人工智能(AIOps)”術(shù)語已成為主流。德勤公司建議采用該策略，并采用一種涵蓋開發(fā)和運營(稱為DevSecOps)安全的設(shè)計方法來統(tǒng)一使用該策略。

 

關(guān)于正在興起的5G可能對物聯(lián)網(wǎng)安全和網(wǎng)絡(luò)安全產(chǎn)生的總體影響，Howard建議研究前幾代蜂窩通信技術(shù)的跡象，以獲得對未來可能的跡象。他說：“我猜測5G技術(shù)將遵循人們在3G、4G/LTE、LTE-M等領(lǐng)域看到的”典型脆弱性曲線。換句話說，一旦標準在現(xiàn)實世界中生效，入站攻擊就會增加。

 

一旦高帶寬的5G變得司空見慣，它可能會導(dǎo)致人們急于擴展許多類型的物聯(lián)網(wǎng)設(shè)備的無線功能。Howard說：“組織將會連接到許多本不想連接的設(shè)備上。”

 

 

邊緣計算的核心營銷策略之一是它在網(wǎng)絡(luò)安全方面的所謂好處。這一前提下的基本邏輯是，在盡可能靠近生成數(shù)據(jù)的位置推出計算時，會使網(wǎng)絡(luò)攻擊者的目標更加困難。雖然這在一定程度上可能是正確的，但事實上有一個雙刃劍的因素。Howard說：“通常，在邊緣計算機只是沒有安全控制，組織可能有一個更集中的架構(gòu)。而當有人說：‘我要在邊緣做所有的事’時，我對此感到很擔(dān)心。”

 

Gartner公司分析師認為，邊緣計算并不代表著一種偏離集中計算模型的鐘擺。與其相反，他們認為這是一種補充。從安全角度來看，常見的混合邊緣云模型的前景增強了在發(fā)送到云平臺或核心數(shù)據(jù)中心的元數(shù)據(jù)中使用安全匿名控制的重要性。Howard說：“當人們談到‘邊緣計算’時，基本上是從大數(shù)據(jù)集中提取功能，然后將這些功能發(fā)送回集中的數(shù)據(jù)存儲。”

 

無論如何，Gartner公司強調(diào)說，“云計算是許多用例的默認模型。云中的數(shù)據(jù)存儲是如此便宜，以至于除非用戶進行大量查詢，否則存儲在云中可能是一件合理的事情。”

 

 

或許有人圍繞人工智能的話題可能會大肆宣傳和炒作，但實際上，無論是在進攻還是防御方面，網(wǎng)絡(luò)安全中的自動化程度都在不斷增長。網(wǎng)絡(luò)釣魚并非唯一與物聯(lián)網(wǎng)有關(guān)的例子，但它說明了這一原理。著名的運營技術(shù)(OT)網(wǎng)絡(luò)安全攻擊事件(例如2015年由網(wǎng)絡(luò)引發(fā)的烏克蘭電網(wǎng)中斷事件)源自常規(guī)的網(wǎng)絡(luò)釣魚攻擊。鑒于暗網(wǎng)的軟件工具的可用性，可以幫助網(wǎng)絡(luò)攻擊者簡化其活動并對其目標進行研究。

 

Howard認為有針對性的網(wǎng)絡(luò)釣魚活動(稱為魚叉式網(wǎng)絡(luò)釣魚活動)隨著時間的推移將會越來越嚴重。他說：“我們從客戶那里聽到了關(guān)于這一事實的信息，魚叉式釣魚活動日趨嚴重如今變得更加可信。”

 

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。