導(dǎo)讀:網(wǎng)絡(luò)安全仍是阻礙物聯(lián)網(wǎng)繼續(xù)飛速發(fā)展的主要原因,對安全性的擔(dān)憂降低了使用物聯(lián)網(wǎng)設(shè)備的可能。
網(wǎng)絡(luò)安全仍是阻礙物聯(lián)網(wǎng)繼續(xù)飛速發(fā)展的主要原因,對安全性的擔(dān)憂降低了使用物聯(lián)網(wǎng)設(shè)備的可能。
事實上,貝恩咨詢公司的研究發(fā)現(xiàn),如果企業(yè)客戶對網(wǎng)絡(luò)安全風(fēng)險的擔(dān)憂問題得到解決,他們將愿意購買更多的物聯(lián)網(wǎng)設(shè)備,且至少平均比他們擔(dān)憂這些問題未解決時購買的設(shè)備多70%。此外,調(diào)查的93%高管表示他們會為安全性更高的設(shè)備平均多支付22%的費用。綜合而言,貝恩估計提高這些設(shè)備安全性可以使物聯(lián)網(wǎng)網(wǎng)絡(luò)安全市場增長90億美元至110億美元。導(dǎo)致這種市場需求的原因之一可能是《歐盟通用數(shù)據(jù)保護法規(guī)》(GDPR)等新法規(guī)帶來的壓力越來越大,這些法規(guī)對安全性不足(包括數(shù)據(jù)泄露)的公司提出了嚴格的數(shù)據(jù)保護要求和懲罰。
本文展現(xiàn)了研究和調(diào)查工作的結(jié)果,包括與首席執(zhí)行官、首席運營官、首席信息官、首席信息安全官以及其他有關(guān)網(wǎng)絡(luò)安全和物聯(lián)網(wǎng)技術(shù)的商業(yè)和技術(shù)領(lǐng)導(dǎo)者的討論。顯而易見,最先進網(wǎng)絡(luò)安全的公司高管也最關(guān)心安全性問題。
物聯(lián)網(wǎng)設(shè)備供應(yīng)商是制造物聯(lián)網(wǎng)設(shè)備的公司以及提供相關(guān)解決方案的公司,他們目標(biāo)明確:提高安全性以獲得競爭優(yōu)勢并擴大市場。
客戶對網(wǎng)絡(luò)安全的看法
所調(diào)查的大多數(shù)高管(60%)表示他們非常關(guān)注物聯(lián)網(wǎng)設(shè)備給他們公司帶來的風(fēng)險。這并不奇怪,因為物聯(lián)網(wǎng)安全漏洞可能對運營、收入和安全造成損害。當(dāng)保護不當(dāng)時,物聯(lián)網(wǎng)設(shè)備可以允許訪問企業(yè)系統(tǒng),從而導(dǎo)致大量數(shù)據(jù)泄露。
帶病毒設(shè)備也可能被利用,以對企業(yè)惡意攻擊。2016年10月,Mirai惡意軟件攻擊破壞了數(shù)千個傳感器、攝像頭和其他設(shè)備,產(chǎn)生了一個龐大的僵尸網(wǎng)絡(luò),并發(fā)起了分布式拒絕服務(wù)攻擊,破壞了熱門網(wǎng)站(包括GitHub、Netflix、Twitter和Airbnb)。2018年1月,Okiru(Mirai變體)可侵入數(shù)十億物聯(lián)網(wǎng)產(chǎn)品中廣泛使用的ARC處理器,由此而被病毒入侵的物聯(lián)網(wǎng)設(shè)備也可以進行點擊欺詐,導(dǎo)致廣告客戶每年損失數(shù)十億美元。遭病毒入侵設(shè)備也可用于挖掘加密貨幣,如比特幣和門羅幣。
在確定防范這些類型攻擊的解決方案時,物聯(lián)網(wǎng)設(shè)備供應(yīng)商可以根據(jù)網(wǎng)絡(luò)安全能力成熟度對其目標(biāo)客戶進行細分。這種細分有助于根據(jù)典型需求確定不同的方法,并反映出企業(yè)客戶的能力不是靜態(tài)的而是向更高級別發(fā)展的現(xiàn)狀。研究發(fā)現(xiàn),處于最不發(fā)達端的客戶更有可能尋求簡化和集成的安全解決方案,而那些具有更高級功能的客戶更愿意投資于最佳或定制的單點解決方案。
在各個細分市場中,幾乎所有高管都表示,物聯(lián)網(wǎng)設(shè)備對其組織構(gòu)成了中等或重大的風(fēng)險。而相比那些網(wǎng)絡(luò)安全能力較弱的企業(yè),在網(wǎng)絡(luò)安全成熟度更高的公司中,主管人員看到的安全風(fēng)險會更多。
研究還表明,某些行業(yè)的高管認為所在行業(yè)的物聯(lián)網(wǎng)風(fēng)險高于其他行業(yè)。耐用品、建筑工程、能源和公用事業(yè)、金融服務(wù)和技術(shù)行業(yè)的高管最有可能表達非常擔(dān)憂的想法。這些擔(dān)憂反映了行業(yè)現(xiàn)實,而不僅僅是個別高管的看法。例如,在能源行業(yè)方面,石油和天然氣生產(chǎn)商在其油井和鉆井平臺上依賴數(shù)以萬計的物聯(lián)網(wǎng)傳感器和復(fù)雜的生產(chǎn)控制裝置。能源公司使用來自這些物聯(lián)網(wǎng)設(shè)備的數(shù)據(jù),這些設(shè)備平均每天可超過一太字節(jié)(TB)的速度在運行,以實時地調(diào)整其運營同時保持嚴格的安全閾值。完整性打折扣或破壞數(shù)據(jù)流動都可能導(dǎo)致災(zāi)難性的破壞。
近一半的醫(yī)療保健高管認為所在行業(yè)物聯(lián)網(wǎng)存在重大安全風(fēng)險。醫(yī)院和診所越來越依賴來自各種供應(yīng)商的連接診斷監(jiān)測和護理服務(wù)設(shè)備,這些供應(yīng)商從第三方獲取組件。核磁共振、機器人輔助手術(shù)設(shè)備和藥物輸送泵都極大有可能受到未經(jīng)授權(quán)的訪問。這將對患者安全構(gòu)成明顯威脅。2017年9月,美國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組發(fā)現(xiàn)了無線注射器輸液泵的漏洞,并警告說,如果不加以注意,可能對患者構(gòu)成重大威脅。
制造商對物聯(lián)網(wǎng)的使用也為工業(yè)環(huán)境帶來新風(fēng)險。大型制造商可能會部署數(shù)千種物聯(lián)網(wǎng)設(shè)備,從傳感器到復(fù)雜的半自動機器人。受病毒入侵的傳感器可能導(dǎo)致數(shù)據(jù)不準(zhǔn)確,從而阻礙管理層制定關(guān)鍵運營決策或制造嚴重影響整個價值鏈的庫存問題。在工廠上可能會發(fā)現(xiàn)更大的風(fēng)險,因為受損的機器人設(shè)備可能會引入微妙但危險的活動,或?qū)と撕推渌O(shè)備造成更大的破壞和傷害。
客戶應(yīng)對物聯(lián)網(wǎng)網(wǎng)絡(luò)安全的方案
與管理安全性的高管進行的對話表明,客戶需要高效、易于集成和靈活部署的解決方案。公司根據(jù)其能力和供應(yīng)商所提供市場解決方案的可用性,采取一系列方法來滿足其安全需求(參見圖6)。目前使用的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全解決方案中,只有約三分之一來自物聯(lián)網(wǎng)設(shè)備供應(yīng)商,這表明供應(yīng)商要么不提供滿足消費者需求的全面且高質(zhì)量的解決方案,要么他們不能很好地推廣方案。
貝恩的研究發(fā)現(xiàn),擁有最先進網(wǎng)絡(luò)安全功能的公司更多地依賴于內(nèi)部開發(fā)的安全解決方案,這不僅是因為他們可能有更復(fù)雜的需求,而且更有可能因為他們擁有開發(fā)自己解決方案的人才和能力。具有自組安全功能的公司在所研究的所有物聯(lián)網(wǎng)使用對象中,其對安全解決方案的需求最大。
供應(yīng)商未能滿足客戶對網(wǎng)絡(luò)安全的需求
貝恩還研究了公司如何通過層層部署安全解決方案,并為物聯(lián)網(wǎng)設(shè)備供應(yīng)商在每層找到了充足的機會。
貝恩調(diào)查發(fā)現(xiàn),訪問接口層具有最高級別的保護,無論是內(nèi)部開發(fā)還是由制造商或第三方提供。其他層由更多內(nèi)部解決方案保護,或者在某些情況下根本沒有保護??蛻魧?nèi)部解決方案的偏好可以通過考慮每個安全層的特定條件得到部分解釋。
例如,數(shù)據(jù)安全解決方案通常需要比基本物聯(lián)網(wǎng)設(shè)備上當(dāng)前可用的計算和功率資源更多的計算和功率資源。麻省理工學(xué)院的研究人員創(chuàng)造了一種新的芯片,可以使用1/400的功率和1/10的內(nèi)存,以當(dāng)前芯片速度的500倍速度對物聯(lián)網(wǎng)設(shè)備進行加密。但是,在這項新技術(shù)被廣泛采用之前,制造商需要在設(shè)計方案時,繼續(xù)平衡這一要求與物聯(lián)網(wǎng)設(shè)備的尺寸、成本和功率。
硬件安全解決方案必須解決物理接口(如USB或以太網(wǎng)端口)、設(shè)備操作系統(tǒng)和固件的漏洞。但很少有制造商在發(fā)貨之前充分測試硬件是否存在已知漏洞,大部分設(shè)備不足在進行持續(xù)測試期間因新漏洞而暴露不足。
最后,IT安全操作必須管理和監(jiān)控其物聯(lián)網(wǎng)設(shè)備,并結(jié)合來自其他五個層的日志數(shù)據(jù)進行。雖然大多數(shù)企業(yè)都希望擁有一套緊密結(jié)合的工具,并且能夠全面了解其設(shè)備的安全狀況,但很少有物聯(lián)網(wǎng)設(shè)備制造商能夠很好地了解客戶的運營情況,從而提供這種解決方案。盡管如此,他們?nèi)匀豢梢耘c客戶合作,確定可信賴的第三方,作為開發(fā)全面安全解決方案的合作伙伴。
總的來說,這些類型的制造商缺點可能使客戶在考慮通過各個安全層以保護其物聯(lián)網(wǎng)設(shè)備時自行研發(fā)方案。由于缺乏精心設(shè)計的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全產(chǎn)品和服務(wù),客戶正在設(shè)計自己的解決方案,完全放棄使用解決方案或直到供應(yīng)商滿足自身要求才能實施相應(yīng)方案。
物聯(lián)網(wǎng)設(shè)備供應(yīng)商獲取市場份額的方法
物聯(lián)網(wǎng)設(shè)備供應(yīng)商和生態(tài)系統(tǒng)參與者迅速采取行動以提高物聯(lián)網(wǎng)設(shè)備的安全性,這不僅可以從他們獲得溢價的能力中獲得回報,還可以幫助他們擴展市場。物聯(lián)網(wǎng)生態(tài)系統(tǒng)中的一些領(lǐng)導(dǎo)者正在加緊應(yīng)對安全挑戰(zhàn),并抓住其中的機會。亞馬遜創(chuàng)建了一個與其云產(chǎn)品集成的物聯(lián)網(wǎng)解決方案生態(tài)系統(tǒng)。它最近獲得了一個名為FreeRTOS的開源操作系統(tǒng)的許可,該系統(tǒng)可以更輕松地開發(fā)、部署、管理和保護低功耗物聯(lián)網(wǎng)設(shè)備,并可通過有助于物聯(lián)網(wǎng)設(shè)備管理以及數(shù)據(jù)和網(wǎng)絡(luò)安全的庫和工具對其進行增強。
同樣,微軟的Azure IoT Hub以設(shè)備配置、身份驗證和安全連接的形式提供設(shè)備管理和安全功能。另一個例子是GE(一家工業(yè)物聯(lián)網(wǎng)設(shè)備制造商),其將網(wǎng)絡(luò)安全視為競爭優(yōu)勢,并在戰(zhàn)略上努力將功能嵌入其物聯(lián)網(wǎng)技術(shù)的各個層面。GE于2014年收購了Wurldtech,并最終將Achilles安全產(chǎn)品與Predix IoT管理平臺集成在一起。從運營的角度來看,GE將風(fēng)險管理和產(chǎn)品安全責(zé)任分配給整個組織的專職領(lǐng)導(dǎo)者,他們確保將網(wǎng)絡(luò)安全優(yōu)先考慮并實施到其產(chǎn)品中,包括物聯(lián)網(wǎng)設(shè)備。這些努力代表著重要的進步,但它們本身并不足以解決使用物聯(lián)網(wǎng)所面臨的更廣泛的安全問題。所有物聯(lián)網(wǎng)設(shè)備供應(yīng)商都需要在設(shè)備的設(shè)計、開發(fā)和部署中更加注重安全性。下面四個步驟可以幫助高管完成這個任務(wù)。
首先,制造商需要了解客戶如何使用他們的設(shè)備。通過每12-18個月刷新一次認識客戶使用案例來保持最新情況,這將使制造商能夠掌握不斷變化的安全要求并幫助確定未滿足的需求。確定其客戶的平均網(wǎng)絡(luò)安全成熟度水平將有助于制造商投資適當(dāng)?shù)募从煤透郊咏鉀Q方案。例如,自行開發(fā)方案客戶傾向于尋求經(jīng)濟效益而不是最新最佳的解決方案。
其次,制造商應(yīng)在設(shè)備上提供網(wǎng)絡(luò)安全功能,并在可能的情況下與可信賴的網(wǎng)絡(luò)安全供應(yīng)商合作,以提供其他解決方案。工程團隊?wèi)?yīng)將安全開發(fā)實踐嵌入到設(shè)備的軟件和硬件組件中,并為訪問接口、應(yīng)用程序、數(shù)據(jù)和設(shè)備層提供固有的解決方案。無論網(wǎng)絡(luò)安全成熟度如何,大多數(shù)客戶都將使用這些可即用的功能。 采取這些措施可以減少物聯(lián)網(wǎng)設(shè)備中的常見漏洞,例如默認或嵌入式密碼、缺乏數(shù)據(jù)安全性的網(wǎng)絡(luò)憑證和網(wǎng)絡(luò)通信,以及確保系統(tǒng)完整性的薄弱安全措施。制造商還可以與網(wǎng)絡(luò)安全供應(yīng)商合作,在數(shù)據(jù)、網(wǎng)絡(luò)和運營層提供售后解決方案,有選擇地將這些解決方案集成到某些客戶群中。例如,具有一致安全性的客戶傾向于選擇集成解決方案,而實踐企業(yè)則尋求最佳解決方案而不是集成解決方案。
第三,制造商還需要滿足質(zhì)量保證,并能夠證明他們的物聯(lián)網(wǎng)設(shè)備沒有已知的漏洞。對于有時安裝新設(shè)備但未發(fā)現(xiàn)其中包含漏洞的客戶而言,這將減輕主要的危險點。部署更有條理的流程來識別和刪除跨安全層的漏洞或參與第三方漏洞掃描和滲透測試企業(yè)可以幫助制造商,這些做法都可滿足這一需求。定義具有明確義務(wù)的網(wǎng)絡(luò)安全保修期可告知客戶,供應(yīng)商負責(zé)的內(nèi)容以及持續(xù)時間。綜合而言,這些措施是網(wǎng)絡(luò)安全最佳辦法,可用于安全要求高的設(shè)備。
最后,制造商可以在保修期內(nèi)通過不斷測試新的漏洞、提供軟件和固件更新以及提供可即用和售后解決方案的特性和功能升級。在整個保修期內(nèi),為了應(yīng)對新發(fā)現(xiàn)的安全漏洞而提供對固件、操作系統(tǒng)和應(yīng)用程序的更新應(yīng)始終是首要任務(wù)。
這四個步驟是一個開始,但絕不是解決阻礙物聯(lián)網(wǎng)發(fā)展的安全問題的全部內(nèi)容。雖然物聯(lián)網(wǎng)市場的增長似乎注定勢不可擋,但許多企業(yè)客戶將繼續(xù)謹慎行事,直到他們能夠合理地確保其數(shù)據(jù)的安全性,并確保在越來越依賴于設(shè)備、傳感器和物聯(lián)網(wǎng)的情況下,公司整體運營的安全性。
(原標(biāo)題:網(wǎng)絡(luò)安全成物聯(lián)網(wǎng)發(fā)展一大瓶頸 高效解決方案有望推動110億美元增長)