毋庸置疑，物聯網(IoT)和工業物聯網(IIoT)的興起為企業組織帶來了新的發展機遇，但同時，它們也為企業組織帶來了巨大的網絡安全風險以及不斷擴大的攻擊面。然而，一項針對企業組織對其物聯網設備的風險暴露情況進行的調查發現，許多公司仍未意識到使用連接設備時所面臨的風險范圍，并且對這些威脅的管理表現出非常滯后的狀態。

安全專家建議，企業組織應該采取一種“Security by Design”(安全設計方法)來設計和部署物聯網(IoT)和工業物聯網(IIoT)產品。這種方法涉及默認將網絡安全實踐納入產品的設計以及實施環境中。

Security by Design(安全設計)通過在構建產品的首個環節解決安全問題，達到節省時間并降低成本的效果。在一項針對各行業和職位的4,200多名專業人士的調查中，近一半(48%)的受訪者表示，在開發或部署聯網產品或設備時，必須將DevSecOps嵌入到整個生命周期中，而且團隊在整個部署過程中都需要進行法律、采購以及合規性方面的工作。

十大物聯網安全風險

以下是企業組織必須解決的當前物聯網環境所產生的十大安全風險：

1. 沒有安全和隱私計劃;

2. 缺乏所有權/管理權來推動安全和隱私;

3. 安全性未納入產品和生態系統的設計中;

4. 對工程師和架構師的安全意識和培訓不足;

5. 缺乏IoT / IIoT以及產品安全和隱私資源;

6. 對用于檢測安全事件的設備和系統監控不足;

7. 缺乏市場后監管/實施安全和隱私風險管理;

8. 缺乏產品可見性或沒有完整的產品庫存;

9. 識別和處理現場和遺留產品的風險;

10. 沒有經驗/不成熟的事件響應過程。

德勤會計師事務所(Deloitte&Touche LLP)網絡風險服務的物聯網安全負責人Sean Peasley在一份新聞稿中表示：

如何創建物聯網Security by Design(安全設計)

德勤公司公布的調查結果發現，許多企業(41%)表示，他們正在尋求行業和專業團體的指導，以便在其業務中創建安全設計。另有28%的受訪者表示，他們期望監管實體和機構能夠首先制定標準，而22%的受訪者表示，他們已經在企業內部開展了自己的安全性做法。

德勤分析師表示，企業組織應該首先尋求了解同行的最佳實踐和標準，然后再向監管機構尋求指導。

大約30%的受訪者表示，他們沒有使用過一套明確的產品網絡安全要求，而只有28%的受訪者表示，他們使用了行業定義的框架，41%的受訪者表示，他們使用的是客戶的框架，這表明行業在采用網絡安全標準方面還有漫長的道路要走。

安全專家認為，對于尋求將設計安全性實施到物聯網產品中的企業來說，需要考慮如下五個因素：

1. 了解產品安全性的當前狀態并制定網絡戰略

無論是設計聯網產品還是購買此類產品在內部實施，都必須要評估產品(包括其生產的數據)的保護方式，并制定網絡戰略以推動改進。

2. 建立安全設計實踐

通過需求、風險評估、威脅建模和安全測試，將設計安全性集成到產品本身的設計或生態系統體系結構的設計之中。

3. 從頂層設定基調

確保合適的人員參與并擁有流程的所有權——從領導到相關的產品安全主題專家再到產品開發設計團隊。

4. 擁有一支專業的團隊，并為他們提供充足的資源

不要指望企業安全團隊在缺乏任務資源的情況下能夠順利完成任務。建立一支專業的團隊，該團隊需要具備基于產品的經驗，并根據需要為其提供培訓，以幫助他們積累知識。

5. 利用行業可用資源

與其為您的設備供應商開發和提供獨特的調查問卷，還不如使用公開的行業資源來得方便直接。

威脅不斷加劇，你準備好了嗎?

2020 年，隨著 5G 部署持續推出，攻擊也將接踵而至。無論何時，互聯的東西越多，安全問題就越多。而讓情況變得復雜的是，很多工業環境都部署著過時的遺留設備。惡意黑客將開始針對這些環境，帶來嚴重后果，比如對配置的非授權修改——可致工業過程未按既定方式運轉，因而造成工業事故、斷電，甚至環境災難。

沒有哪個產品設計者會想創建出毫無安全性可言的聯網產品。幸運的是，鑒于目前物聯網安全所獲得的關注度，情況正在不斷改善。“Security by Design”(安全設計方法)也逐漸被行業認同并付諸實踐中。