技術(shù)
導(dǎo)讀:網(wǎng)絡(luò)安全仍是阻礙物聯(lián)網(wǎng)繼續(xù)飛速發(fā)展的主要原因,對(duì)安全性的擔(dān)憂降低了使用物聯(lián)網(wǎng)設(shè)備的可能。
網(wǎng)絡(luò)安全仍是阻礙物聯(lián)網(wǎng)繼續(xù)飛速發(fā)展的主要原因,對(duì)安全性的擔(dān)憂降低了使用物聯(lián)網(wǎng)設(shè)備的可能。
事實(shí)上,貝恩咨詢公司的研究發(fā)現(xiàn),如果企業(yè)客戶對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的擔(dān)憂問題得到解決,他們將愿意購(gòu)買更多的物聯(lián)網(wǎng)設(shè)備,且至少平均比他們擔(dān)憂這些問題未解決時(shí)購(gòu)買的設(shè)備多70%。此外,調(diào)查的93%高管表示他們會(huì)為安全性更高的設(shè)備平均多支付22%的費(fèi)用。綜合而言,貝恩估計(jì)提高這些設(shè)備安全性可以使物聯(lián)網(wǎng)網(wǎng)絡(luò)安全市場(chǎng)增長(zhǎng)90億美元至110億美元。導(dǎo)致這種市場(chǎng)需求的原因之一可能是《歐盟通用數(shù)據(jù)保護(hù)法規(guī)》(GDPR)等新法規(guī)帶來(lái)的壓力越來(lái)越大,這些法規(guī)對(duì)安全性不足(包括數(shù)據(jù)泄露)的公司提出了嚴(yán)格的數(shù)據(jù)保護(hù)要求和懲罰。
本文展現(xiàn)了研究和調(diào)查工作的結(jié)果,包括與首席執(zhí)行官、首席運(yùn)營(yíng)官、首席信息官、首席信息安全官以及其他有關(guān)網(wǎng)絡(luò)安全和物聯(lián)網(wǎng)技術(shù)的商業(yè)和技術(shù)領(lǐng)導(dǎo)者的討論。顯而易見,最先進(jìn)網(wǎng)絡(luò)安全的公司高管也最關(guān)心安全性問題。
物聯(lián)網(wǎng)設(shè)備供應(yīng)商是制造物聯(lián)網(wǎng)設(shè)備的公司以及提供相關(guān)解決方案的公司,他們目標(biāo)明確:提高安全性以獲得競(jìng)爭(zhēng)優(yōu)勢(shì)并擴(kuò)大市場(chǎng)。
客戶對(duì)網(wǎng)絡(luò)安全的看法
所調(diào)查的大多數(shù)高管(60%)表示他們非常關(guān)注物聯(lián)網(wǎng)設(shè)備給他們公司帶來(lái)的風(fēng)險(xiǎn)。這并不奇怪,因?yàn)槲锫?lián)網(wǎng)安全漏洞可能對(duì)運(yùn)營(yíng)、收入和安全造成損害。當(dāng)保護(hù)不當(dāng)時(shí),物聯(lián)網(wǎng)設(shè)備可以允許訪問企業(yè)系統(tǒng),從而導(dǎo)致大量數(shù)據(jù)泄露。
帶病毒設(shè)備也可能被利用,以對(duì)企業(yè)惡意攻擊。2016年10月,Mirai惡意軟件攻擊破壞了數(shù)千個(gè)傳感器、攝像頭和其他設(shè)備,產(chǎn)生了一個(gè)龐大的僵尸網(wǎng)絡(luò),并發(fā)起了分布式拒絕服務(wù)攻擊,破壞了熱門網(wǎng)站(包括GitHub、Netflix、Twitter和Airbnb)。2018年1月,Okiru(Mirai變體)可侵入數(shù)十億物聯(lián)網(wǎng)產(chǎn)品中廣泛使用的ARC處理器,由此而被病毒入侵的物聯(lián)網(wǎng)設(shè)備也可以進(jìn)行點(diǎn)擊欺詐,導(dǎo)致廣告客戶每年損失數(shù)十億美元。遭病毒入侵設(shè)備也可用于挖掘加密貨幣,如比特幣和門羅幣。
在確定防范這些類型攻擊的解決方案時(shí),物聯(lián)網(wǎng)設(shè)備供應(yīng)商可以根據(jù)網(wǎng)絡(luò)安全能力成熟度對(duì)其目標(biāo)客戶進(jìn)行細(xì)分。這種細(xì)分有助于根據(jù)典型需求確定不同的方法,并反映出企業(yè)客戶的能力不是靜態(tài)的而是向更高級(jí)別發(fā)展的現(xiàn)狀。研究發(fā)現(xiàn),處于最不發(fā)達(dá)端的客戶更有可能尋求簡(jiǎn)化和集成的安全解決方案,而那些具有更高級(jí)功能的客戶更愿意投資于最佳或定制的單點(diǎn)解決方案。
在各個(gè)細(xì)分市場(chǎng)中,幾乎所有高管都表示,物聯(lián)網(wǎng)設(shè)備對(duì)其組織構(gòu)成了中等或重大的風(fēng)險(xiǎn)。而相比那些網(wǎng)絡(luò)安全能力較弱的企業(yè),在網(wǎng)絡(luò)安全成熟度更高的公司中,主管人員看到的安全風(fēng)險(xiǎn)會(huì)更多。
研究還表明,某些行業(yè)的高管認(rèn)為所在行業(yè)的物聯(lián)網(wǎng)風(fēng)險(xiǎn)高于其他行業(yè)。耐用品、建筑工程、能源和公用事業(yè)、金融服務(wù)和技術(shù)行業(yè)的高管最有可能表達(dá)非常擔(dān)憂的想法。這些擔(dān)憂反映了行業(yè)現(xiàn)實(shí),而不僅僅是個(gè)別高管的看法。例如,在能源行業(yè)方面,石油和天然氣生產(chǎn)商在其油井和鉆井平臺(tái)上依賴數(shù)以萬(wàn)計(jì)的物聯(lián)網(wǎng)傳感器和復(fù)雜的生產(chǎn)控制裝置。能源公司使用來(lái)自這些物聯(lián)網(wǎng)設(shè)備的數(shù)據(jù),這些設(shè)備平均每天可超過一太字節(jié)(TB)的速度在運(yùn)行,以實(shí)時(shí)地調(diào)整其運(yùn)營(yíng)同時(shí)保持嚴(yán)格的安全閾值。完整性打折扣或破壞數(shù)據(jù)流動(dòng)都可能導(dǎo)致災(zāi)難性的破壞。
近一半的醫(yī)療保健高管認(rèn)為所在行業(yè)物聯(lián)網(wǎng)存在重大安全風(fēng)險(xiǎn)。醫(yī)院和診所越來(lái)越依賴來(lái)自各種供應(yīng)商的連接診斷監(jiān)測(cè)和護(hù)理服務(wù)設(shè)備,這些供應(yīng)商從第三方獲取組件。核磁共振、機(jī)器人輔助手術(shù)設(shè)備和藥物輸送泵都極大有可能受到未經(jīng)授權(quán)的訪問。這將對(duì)患者安全構(gòu)成明顯威脅。2017年9月,美國(guó)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組發(fā)現(xiàn)了無(wú)線注射器輸液泵的漏洞,并警告說(shuō),如果不加以注意,可能對(duì)患者構(gòu)成重大威脅。
制造商對(duì)物聯(lián)網(wǎng)的使用也為工業(yè)環(huán)境帶來(lái)新風(fēng)險(xiǎn)。大型制造商可能會(huì)部署數(shù)千種物聯(lián)網(wǎng)設(shè)備,從傳感器到復(fù)雜的半自動(dòng)機(jī)器人。受病毒入侵的傳感器可能導(dǎo)致數(shù)據(jù)不準(zhǔn)確,從而阻礙管理層制定關(guān)鍵運(yùn)營(yíng)決策或制造嚴(yán)重影響整個(gè)價(jià)值鏈的庫(kù)存問題。在工廠上可能會(huì)發(fā)現(xiàn)更大的風(fēng)險(xiǎn),因?yàn)槭軗p的機(jī)器人設(shè)備可能會(huì)引入微妙但危險(xiǎn)的活動(dòng),或?qū)と撕推渌O(shè)備造成更大的破壞和傷害。
客戶應(yīng)對(duì)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全的方案
與管理安全性的高管進(jìn)行的對(duì)話表明,客戶需要高效、易于集成和靈活部署的解決方案。公司根據(jù)其能力和供應(yīng)商所提供市場(chǎng)解決方案的可用性,采取一系列方法來(lái)滿足其安全需求(參見圖6)。目前使用的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全解決方案中,只有約三分之一來(lái)自物聯(lián)網(wǎng)設(shè)備供應(yīng)商,這表明供應(yīng)商要么不提供滿足消費(fèi)者需求的全面且高質(zhì)量的解決方案,要么他們不能很好地推廣方案。
貝恩的研究發(fā)現(xiàn),擁有最先進(jìn)網(wǎng)絡(luò)安全功能的公司更多地依賴于內(nèi)部開發(fā)的安全解決方案,這不僅是因?yàn)樗麄兛赡苡懈鼜?fù)雜的需求,而且更有可能因?yàn)樗麄儞碛虚_發(fā)自己解決方案的人才和能力。具有自組安全功能的公司在所研究的所有物聯(lián)網(wǎng)使用對(duì)象中,其對(duì)安全解決方案的需求最大。
供應(yīng)商未能滿足客戶對(duì)網(wǎng)絡(luò)安全的需求
貝恩還研究了公司如何通過層層部署安全解決方案,并為物聯(lián)網(wǎng)設(shè)備供應(yīng)商在每層找到了充足的機(jī)會(huì)。
貝恩調(diào)查發(fā)現(xiàn),訪問接口層具有最高級(jí)別的保護(hù),無(wú)論是內(nèi)部開發(fā)還是由制造商或第三方提供。其他層由更多內(nèi)部解決方案保護(hù),或者在某些情況下根本沒有保護(hù)。客戶對(duì)內(nèi)部解決方案的偏好可以通過考慮每個(gè)安全層的特定條件得到部分解釋。
例如,數(shù)據(jù)安全解決方案通常需要比基本物聯(lián)網(wǎng)設(shè)備上當(dāng)前可用的計(jì)算和功率資源更多的計(jì)算和功率資源。麻省理工學(xué)院的研究人員創(chuàng)造了一種新的芯片,可以使用1/400的功率和1/10的內(nèi)存,以當(dāng)前芯片速度的500倍速度對(duì)物聯(lián)網(wǎng)設(shè)備進(jìn)行加密。但是,在這項(xiàng)新技術(shù)被廣泛采用之前,制造商需要在設(shè)計(jì)方案時(shí),繼續(xù)平衡這一要求與物聯(lián)網(wǎng)設(shè)備的尺寸、成本和功率。
硬件安全解決方案必須解決物理接口(如USB或以太網(wǎng)端口)、設(shè)備操作系統(tǒng)和固件的漏洞。但很少有制造商在發(fā)貨之前充分測(cè)試硬件是否存在已知漏洞,大部分設(shè)備不足在進(jìn)行持續(xù)測(cè)試期間因新漏洞而暴露不足。
最后,IT安全操作必須管理和監(jiān)控其物聯(lián)網(wǎng)設(shè)備,并結(jié)合來(lái)自其他五個(gè)層的日志數(shù)據(jù)進(jìn)行。雖然大多數(shù)企業(yè)都希望擁有一套緊密結(jié)合的工具,并且能夠全面了解其設(shè)備的安全狀況,但很少有物聯(lián)網(wǎng)設(shè)備制造商能夠很好地了解客戶的運(yùn)營(yíng)情況,從而提供這種解決方案。盡管如此,他們?nèi)匀豢梢耘c客戶合作,確定可信賴的第三方,作為開發(fā)全面安全解決方案的合作伙伴。
總的來(lái)說(shuō),這些類型的制造商缺點(diǎn)可能使客戶在考慮通過各個(gè)安全層以保護(hù)其物聯(lián)網(wǎng)設(shè)備時(shí)自行研發(fā)方案。由于缺乏精心設(shè)計(jì)的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全產(chǎn)品和服務(wù),客戶正在設(shè)計(jì)自己的解決方案,完全放棄使用解決方案或直到供應(yīng)商滿足自身要求才能實(shí)施相應(yīng)方案。
物聯(lián)網(wǎng)設(shè)備供應(yīng)商獲取市場(chǎng)份額的方法
物聯(lián)網(wǎng)設(shè)備供應(yīng)商和生態(tài)系統(tǒng)參與者迅速采取行動(dòng)以提高物聯(lián)網(wǎng)設(shè)備的安全性,這不僅可以從他們獲得溢價(jià)的能力中獲得回報(bào),還可以幫助他們擴(kuò)展市場(chǎng)。物聯(lián)網(wǎng)生態(tài)系統(tǒng)中的一些領(lǐng)導(dǎo)者正在加緊應(yīng)對(duì)安全挑戰(zhàn),并抓住其中的機(jī)會(huì)。亞馬遜創(chuàng)建了一個(gè)與其云產(chǎn)品集成的物聯(lián)網(wǎng)解決方案生態(tài)系統(tǒng)。它最近獲得了一個(gè)名為FreeRTOS的開源操作系統(tǒng)的許可,該系統(tǒng)可以更輕松地開發(fā)、部署、管理和保護(hù)低功耗物聯(lián)網(wǎng)設(shè)備,并可通過有助于物聯(lián)網(wǎng)設(shè)備管理以及數(shù)據(jù)和網(wǎng)絡(luò)安全的庫(kù)和工具對(duì)其進(jìn)行增強(qiáng)。
同樣,微軟的Azure IoT Hub以設(shè)備配置、身份驗(yàn)證和安全連接的形式提供設(shè)備管理和安全功能。另一個(gè)例子是GE(一家工業(yè)物聯(lián)網(wǎng)設(shè)備制造商),其將網(wǎng)絡(luò)安全視為競(jìng)爭(zhēng)優(yōu)勢(shì),并在戰(zhàn)略上努力將功能嵌入其物聯(lián)網(wǎng)技術(shù)的各個(gè)層面。GE于2014年收購(gòu)了Wurldtech,并最終將Achilles安全產(chǎn)品與Predix IoT管理平臺(tái)集成在一起。從運(yùn)營(yíng)的角度來(lái)看,GE將風(fēng)險(xiǎn)管理和產(chǎn)品安全責(zé)任分配給整個(gè)組織的專職領(lǐng)導(dǎo)者,他們確保將網(wǎng)絡(luò)安全優(yōu)先考慮并實(shí)施到其產(chǎn)品中,包括物聯(lián)網(wǎng)設(shè)備。這些努力代表著重要的進(jìn)步,但它們本身并不足以解決使用物聯(lián)網(wǎng)所面臨的更廣泛的安全問題。所有物聯(lián)網(wǎng)設(shè)備供應(yīng)商都需要在設(shè)備的設(shè)計(jì)、開發(fā)和部署中更加注重安全性。下面四個(gè)步驟可以幫助高管完成這個(gè)任務(wù)。
首先,制造商需要了解客戶如何使用他們的設(shè)備。通過每12-18個(gè)月刷新一次認(rèn)識(shí)客戶使用案例來(lái)保持最新情況,這將使制造商能夠掌握不斷變化的安全要求并幫助確定未滿足的需求。確定其客戶的平均網(wǎng)絡(luò)安全成熟度水平將有助于制造商投資適當(dāng)?shù)募从煤透郊咏鉀Q方案。例如,自行開發(fā)方案客戶傾向于尋求經(jīng)濟(jì)效益而不是最新最佳的解決方案。
其次,制造商應(yīng)在設(shè)備上提供網(wǎng)絡(luò)安全功能,并在可能的情況下與可信賴的網(wǎng)絡(luò)安全供應(yīng)商合作,以提供其他解決方案。工程團(tuán)隊(duì)?wèi)?yīng)將安全開發(fā)實(shí)踐嵌入到設(shè)備的軟件和硬件組件中,并為訪問接口、應(yīng)用程序、數(shù)據(jù)和設(shè)備層提供固有的解決方案。無(wú)論網(wǎng)絡(luò)安全成熟度如何,大多數(shù)客戶都將使用這些可即用的功能。 采取這些措施可以減少物聯(lián)網(wǎng)設(shè)備中的常見漏洞,例如默認(rèn)或嵌入式密碼、缺乏數(shù)據(jù)安全性的網(wǎng)絡(luò)憑證和網(wǎng)絡(luò)通信,以及確保系統(tǒng)完整性的薄弱安全措施。制造商還可以與網(wǎng)絡(luò)安全供應(yīng)商合作,在數(shù)據(jù)、網(wǎng)絡(luò)和運(yùn)營(yíng)層提供售后解決方案,有選擇地將這些解決方案集成到某些客戶群中。例如,具有一致安全性的客戶傾向于選擇集成解決方案,而實(shí)踐企業(yè)則尋求最佳解決方案而不是集成解決方案。
第三,制造商還需要滿足質(zhì)量保證,并能夠證明他們的物聯(lián)網(wǎng)設(shè)備沒有已知的漏洞。對(duì)于有時(shí)安裝新設(shè)備但未發(fā)現(xiàn)其中包含漏洞的客戶而言,這將減輕主要的危險(xiǎn)點(diǎn)。部署更有條理的流程來(lái)識(shí)別和刪除跨安全層的漏洞或參與第三方漏洞掃描和滲透測(cè)試企業(yè)可以幫助制造商,這些做法都可滿足這一需求。定義具有明確義務(wù)的網(wǎng)絡(luò)安全保修期可告知客戶,供應(yīng)商負(fù)責(zé)的內(nèi)容以及持續(xù)時(shí)間。綜合而言,這些措施是網(wǎng)絡(luò)安全最佳辦法,可用于安全要求高的設(shè)備。
最后,制造商可以在保修期內(nèi)通過不斷測(cè)試新的漏洞、提供軟件和固件更新以及提供可即用和售后解決方案的特性和功能升級(jí)。在整個(gè)保修期內(nèi),為了應(yīng)對(duì)新發(fā)現(xiàn)的安全漏洞而提供對(duì)固件、操作系統(tǒng)和應(yīng)用程序的更新應(yīng)始終是首要任務(wù)。
這四個(gè)步驟是一個(gè)開始,但絕不是解決阻礙物聯(lián)網(wǎng)發(fā)展的安全問題的全部?jī)?nèi)容。雖然物聯(lián)網(wǎng)市場(chǎng)的增長(zhǎng)似乎注定勢(shì)不可擋,但許多企業(yè)客戶將繼續(xù)謹(jǐn)慎行事,直到他們能夠合理地確保其數(shù)據(jù)的安全性,并確保在越來(lái)越依賴于設(shè)備、傳感器和物聯(lián)網(wǎng)的情況下,公司整體運(yùn)營(yíng)的安全性。
(原標(biāo)題:網(wǎng)絡(luò)安全成物聯(lián)網(wǎng)發(fā)展一大瓶頸 高效解決方案有望推動(dòng)110億美元增長(zhǎng))