物聯網安全五項指導原則
訪問實時數據對商業智能具有巨大價值。想象一下,如果裝配線上的機械臂可以告訴您它正在使用多少能量,完成工作需要多長時間,或者何時需要維護。
從心臟起搏器到自動駕駛汽車,以前封閉的設備正在連接到互聯網。這為用戶提供了巨大的價值,甚至可以在醫療設備的情況下拯救生命。但隨著互聯性的增加,風險也隨之增加。
從理論上講,物聯網基礎設施甚至可以比服務器和工作站更安全,因為手工流程往往是基于云的基礎設施中最脆弱的部分。
但作為一項面臨爆炸性增長的新技術,隨著新技術、新法規、新用例和新威脅的出現,物聯網設備安全可能成為一個移動的目標。由于醫療設備、軍事設備、個人車輛或主要公共設施數據泄露的潛在后果可能危及生命,因此風險很高。
物聯網是傳統IT和網絡安全人員的新世界。他們目前的專業知識可以通過多種方式應用于這場新的物聯網革命,但他們也必須面對一些新的挑戰。
挑戰一:滿足規模需求
制造機械通常每周要生產數十萬臺機器,每臺機器都有自己的證書和身份。證書必須在產品從裝配線下線時就發出。簡單地維護所有已頒發證書的清單是一項重大任務,更不用說監控和更新它們了,特別是對于生命周期較短的證書。42%的企業仍然使用電子表格手工跟蹤數字證書,57%的企業沒有準確的SSH密鑰清單。因此,高達40%的機器身份沒有被跟蹤。
挑戰二:零信任
汽車電子控制單元用于控制車內安全系統、傳動系統和信息娛樂系統,其生產過程是一個龐大的供應鏈,有多個入口,可能會被威脅者利用。
該供應鏈的產品被部署到可能采用,數十年歷史的安全控制的未知環境中。制造商不能讓其產品安全依賴于最終用戶,因為與產品相關的數據泄露可能會損害制造商的聲譽,即使該泄露最終是用戶的過錯。
物聯網技術必須采取一種零信任的方法來確保人類和機器身份的安全。這種方法默認拒絕訪問,并且只根據嚴格的標準授予訪問權,它不僅將安全性作為一種特性,它還將其作為整個產品生命周期的設計元素。
此外,該設備必須與大量相鄰系統集成,其中一些系統可能不遵守同樣嚴格的安全標準。物聯網領域的法規和行業標準仍在形成中,因此制造商面臨著這些系統之間工具差異的挑戰。保護產品,同時使它們具有互操作性可能是一項艱巨的任務。
挑戰三:平臺局限性
安全性幾乎從來不是物聯網設備的賣點。在市場上,重要的是產品的性能、能源效率、成本等。物聯網產品賣家不能通過將安全性作為價值主張而向客戶收取更多的費用。因此,制造商必須注意安全措施不會對可用性和效率產生負面影響。
安全考慮必須貫穿于產品開發和制造過程,以便它們不會成為笨拙的附加組件。如果安全性從一開始就是工作流程的一部分,即“設計安全”,那么它將在產品發布周期中產生更少的摩擦,并減少對利潤率的侵蝕。
挑戰四:平衡安全性和功能性
在制造設備的設計過程中,安全通常不是第一要務。客戶主要關心的是產品的工作性能如何,它是否具備他們所需的所有功能,以及成本是多少。賦予商業領袖能夠監督整個互聯網的運營是一個巨大的價值驅動因素,但設備連接的一切都帶來了新的風險。產品設計師必須考慮如何平衡安全性和互聯性,以防止潛在的數據泄露可能對公司聲譽造成的損害。
這種平衡可能是困難的,尤其是當設計階段傾向于敏捷或DevOps模型時。設計師在變化和創新中茁壯成長,而安全人員在停滯和可預測性中找到穩定,而安全主管可能沒有足夠的靈活性來妥協。
挑戰五:滿足法規標準
在未來幾年,物聯網將會有大量的發展。新的用例、技術和威脅將催生新的法規。但如果安全性不是物聯網開發人員的首要任務,那么合規性將永遠是一個難題。
目前,圍繞物聯網安全的監管環境脫節。NIST為美國的法規提供信息,但其他國家有自己的制裁機構和標準。電動汽車法規包括PKI,但這些法規因地區而異。像IEC62443這樣的標準經常與其他安全標準相比較。加州的SB:327法是美國第一部專門針對物聯網的法律。
在全球范圍內發布產品的企業必須以符合多個監管環境的安全性來生產該產品,例如,歐洲的GDPR、中國的PIPL、巴西的LGPD。這些隱私法規正在擴展到包括物聯網設備,一些企業可能會受益于熟悉所有標準的專業顧問。
事后考慮物聯網安全的風險
對于大多數物聯網制造商來說,安全并不是主要價值,但買家認為產品是安全的,設備層面的漏洞會降低客戶對品牌的信心,并導致聲譽損害。例如,泄露的安全攝像頭使黑客可以訪問特斯拉工廠以及監獄、警察部門和醫院的視頻源。
在更大的范圍內,Stuxnet病毒改變了伊朗核離心機的速度,其影響之微小,人類察覺不到,使伊朗的核計劃陷入癱瘓。
但受到影響的不只是政府和企業,從車輛在高速公路上行駛時被黑客攻擊,到家庭安全攝像頭被入侵,再到物聯網心臟起搏器的漏洞,對一些物聯網設備的網絡攻擊可能直接危及生命,并引發部分恐懼的消費者。
因此,不安全的設備可能會被政府監管機構處以巨額罰款。2015年,美國衛生與公眾服務部民權辦公室宣布了第一起涉及醫院環境中的醫療設備泄露數據的解決方案。600份記錄被曝光,勒西醫院和醫療中心以85萬美元和解。有人可能會說,OCR是在傳遞一個信息,即將設備和系統置于HIPAA合規保護傘下。
市場正在擴大
物聯網行業將在多個垂直領域爆發。根據數據顯示,全球物聯網市場在2021年增長了22%以上,預計在2027年之前將繼續以相同的復合年增長率增長。
在這個相對較新的行業中,有很多成長的煩惱,而且在安全方面,公司不確定誰負責什么。當設計、運營和安全主管認識到他們都與物聯網設備安全息息相關時,才能實現最佳的安全態勢。最好的物聯網產品將由從一開始就將安全性和合規性考慮納入設備設計的制造商制造。
