面向企業的10大物聯網安全風險
雖然物聯網和工業物聯網的興起為組織帶來了新的好處,但它們也帶來了巨大的網絡安全風險和不斷擴大的攻擊面。然而,根據報告組織了解物聯網設備的風險暴露情況,許多公司未能認識到他們在使用連接設備時面臨的風險范圍。
根據該報告,安全設計通過在構建產品時第一次解決安全問題來節省時間并降低成本。在一項針對各行業和職位的4,200多名專業人士的調查中,近一半的人表示,在開發或部署互聯產品或設備時,必須在整個生命周期內嵌入團隊合作,合法,采購和跨部署合規性。
以下是組織必須解決的當前物聯網環境所產生的十大安全風險:
- 沒有安全和隱私計劃
- 缺乏所有權/治理來推動安全和隱私
- 安全性未納入產品和生態系統的設計中
- 對工程師和建筑師的安全意識和培訓不足
- 缺乏物聯網 / 工業物聯網以及產品安全和隱私資源
- 對設備和系統的監控不足以檢測安全事件
- 缺乏上市后/實施安全和隱私風險管理
- 缺乏產品可見性或沒有完整的產品庫存
- 識別和處理現場和遺留產品的風險
- 沒有經驗/不成熟的事件響應過程
安全需要融入運營計劃的DNA中,以使組織能夠擁有出色的產品并絕對安全。今天,各種各樣的產品正在成為網絡的一部分:從烤箱到即時炊具,從3D打印機到汽車。組織需要考慮真正存在的問題,并將這些挑戰視為優先事項。
如何按設計創建物聯網安全性
許多組織表示他們正在尋求行業和專業團體的指導,以便在他們的業務中創建設計安全性。另有28%的受訪者表示,他們希望監管機構和機構首先制定標準,22%的受訪者表示他們在內部開發了自己的做法。
組織應該首先尋求了解同行的最佳實踐和標準,然后向監管機構尋求信息,告知他們的策略。
大約30%的受訪者表示他們沒有使用一套明確的產品網絡安全要求,而只有28%的受訪者表示他們使用行業定義的框架,41%的受訪者表示他們使用的是客戶框架,這表明行業在采用網絡安全標準方面還有很長的路要走。
對于尋求將設計安全性實施到物聯網產品中的組織,有五個考慮因素:
了解產品安全的當前狀態并制定網絡戰略:無論是設計連接產品還是獲取此類產品以在內部實施,都要評估產品包括其生產的數據的保護方式,并制定網絡戰略以推動改進。
建立逐個設計的實踐:通過需求,風險評估,威脅建模和安全測試,將設計安全性集成到產品本身的設計或生態系統體系結構的設計中。
從頂部設定基調:確保合適的人員參與并擁有流程的所有權 - 從領導到相關的產品安全主題專家到產品團隊。
擁有一支專門的團隊并為他們提供充足的資源:不要指望企業安全團隊在沒有為他們增加新資源的情況下完成任務;建立一支專注的團隊,擁有基于產品的經驗,并根據需要提供培訓,以增加知識。
利用行業可用資源:使用公開的行業資源,而不是為您的設備供應商開發和提供獨特的調查問卷。
