成功管理物联网网络安全风险

VIEWPOINT 2022 成功 管理物联网 网络安全Y风险 整体的重要性 框架来保护您的业务AUTHORS PhilippMudersbach 我们目前目睹了一个巨大的增长工业和消费者物联网(IoT) 跨一系列部门的部署，从智能 工业用途的移动性。然而，这种增长是与物联网上的相应焦点不匹配 安全性，急剧增加企业的风险 跨越他们的生态系统和供应链。作为一条路径向前，这个观点概述了一个整体框架 以及成功管理物联网的方法网络安全挑战。 蒂姆·克里斯托弗莫里茨·坎特 VIEWPOINTARTHURD.LITTLE 日益增长的重要性物联网安全 通过扩展智能连接设备的使用 为了收集数据和监控流程，物联网实现跨消费者的转型变革 和工业用途。(在工业环境中，物联网 通常被称为工业物联网 [IIoT]。然而，因为网络安全同样与工业和消费者使用相关 案例，在这个观点中，我们使用“物联网”来描述这两个领域。)它提供更高的效率，更大 创新，并允许新的工作方式和 连接到客户。它的影响正在被感受到在所有行业，包括智能农业， 智能家居,教育,工业,医疗保健,零售, 移动性、电网/能源、政府和智能城市。使用物联网传感器监测疫苗冷链 在大流行期间是一个典型的例子 该技术可以提供的好处(见附录)。 他们遍布公司网络。在与此同时，组织面临着网络攻击-来自私人和 国家行为者——复杂性正在增加。 目的是否为间谍活动、敲诈勒索 通过勒索软件，或简单地造成恶意损害，这些团体将始终针对 进入组织的最简单方法。因此，企业必须采取前瞻性的方法 现在和将来都能保护他们. 目前，物联网代表了一个弱点，因为投资不足、复杂性的结合 技术，安全责任不明确。例如: -网络安全约占20% 正常的IT预算，但不到物联网的2% 预算(见图1)。这种投资不足在网络安全预防方面为 攻击者潜入公司的设备. 展示了趋势的普遍性， 国际数据公司最近的一项研究 据估计，物联网支出将在2022年达到1万亿美元。Statista预测工业市场规模 仅IoT应用就将达到1110亿美元 2025年。然而，这种扩张带来了增加网络安全风险。物联网增加了大量 组织需要保护的新终点，其中许多可能不受直接控制 公司的IT团队。此外，物联网设备 倾向于紧密地相互联系，创造一个网络攻击传播的风险更大 -物联网生态系统通常包含一个大的不同设备的数量，通常部署 公司网络外部或区域传统上由运营技术运行 (OT)而不是IT团队，例如工厂 controlsystems.Allsuchdevicescanpose 严重的安全风险。 -物联网安全的责任可能会模糊 在IT、OT和外部提供商之间，领先 零敲碎打的方法。这破坏了有效地应对所需的整体对策防止通常的网络安全攻击跨越内部组织边界。 图1.IT和物联网安全的相对支出因此，公司需要同时投资 更多，并采取整个生态系统的方法来处理物联网 2% 20% IoT总投资 IT总投资 物联网安全投资 来源：ArthurD.Little，“Hiscox网络就绪报告2021”，IDC，Statista IT安全投资 安全风险。根据我们的定义，物联网生态系统由连接到的每个设备和服务组成 物联网网络。它包括内部和外部 设备/服务，所有这些都必须受到保护来自一系列风险-来自在线攻击 身体威胁和后果 人类行为和行为。这比 传统的网络安全。因此，组织需要超越自己的防火墙 了解风险、管理威胁并确保正在进行的安全操作。 VIEWPOINTARTHURD.LITTLE 我们已经看到网络攻击使用 面向目标消费者的IoT硬件以及组织，包括以下示例： 一个框架 整体物联网安全 -戒指。亚马逊拥有的智能家居公司环提供了一系列连接的设备， 从视频门铃到安全摄像头和 警报。当罪犯时，它遭受了黑客攻击利用弱、回收和默认安全性 从访问实时源的凭据 客户家中的摄像头。黑客甚至能够远程通信 使用设备的集成麦克风 和扬声器，骚扰客户在一些 cases.Inadditiontocausedcustomerdistribute 和声誉受损，Ring目前是 正在进行的法律行动的目标，包括五百万的集体诉讼. -Oldsmar供水。在佛罗里达的奥尔德斯玛, 美国，一个入侵者能够侵入 控制城镇供水的系统 使用远程监控软件，然后 提高氢氧化钠（碱液）的水平在供水方面要比以前高出100倍 normal.Whilethechangeweredetectedand 在进入之前由运营商取消影响，对公众的潜在后果 健康是灾难性的-碱液中毒可以 导致烧伤、呕吐、剧烈疼痛和出血。 图2.物联网风险评估框架 鉴于物联网的重要性日益增加业务运营，安全行动的时间是现在。然而，组织不仅应该 在物联网安全方面投入更多。除非这笔支出再加上正确的物联网安全风险 管理，它可能会被浪费。 基于ADL的网络安全矩阵，概述在以前的观点(见“不被关注” 足够”)，我们已经开发了物联网风险评估框架（见图2），特别关注风险 与组织的IoT设备相关。通过应用整体框架，公司可以理解 并减轻整个物联网生态系统的风险。该框架区分了内部 和外部活动，并要求组织了解并包括他们之外的领域 直接控制或影响，如外部服务整个供应链的供应商和合作伙伴。通常，公司只关注 生态系统在他们的直接影响下，未能考虑外部服务提供商的风险。 物联网生态系统各部分之间的差异内直接 (内部)and非直接（外部）控制公司的 IoT生态系统 内部 外部 仪表 不清楚一组规则物联网安全 Governance 安全风险来自涉及的用户 Human 文书地址 安全风险 安全风险来自使用的技术组件 Technologies 安全风险在IoT网络运营期间 Processes C级参与 管理层参与需要妥善处理风险 注意：与InfinityGreyLtd.根据其网络成熟度模型和嵌入式企业网络安全体系结构框架共同开发。来源：ArthurD.Little VIEWPOINT 该框架涵盖了四个不同的因素，如 公司运营准备的一部分 处理网络安全风险（见图3）： 1.治理规则和治理不明确 阻碍物联网安全使用的结构设备。例如，未调整的策略 ARTHURD.LITTLE 在内部和外部IoT设备之间。 2.Human-人为造成的安全隐患错误或恶意活动。例如，不 所有内部/外部员工可能已经收到足够的培训以安全地使用IoT 设备。 3.技术-问题带来的安全风险硬件、软件和服务。通常 公司没有意识到内部的外部风险由于缺乏硬件或服务而购买 详细的尽职调查。同样，不断增长的生产中使用的物联网设备数量 IT可能不了解技术，也可能不了解技术 在现有安全策略下进行管理。 4.Processes-由以下原因引起的安全风险运行过程中的不良 物联网网络。问题尤其出现当进程跨越的不同部分 业务和/或涉及外部提供商。 图3.IoT风险评估框架，包含示例 业务应该 实施IOT安全Y 因素贯穿 CLEARSERVICE-LEVEL Agreements 强有力的C级参与必须支撑框架。这需要在董事会对齐 IT和OT之间的水平，以便IoT安全因素涵盖所有连接的设备。责任， 必须制定安全标准和方法 在IT和OT中清晰而标准化。目标是创建全面、透明的IT/OT环境 在整个业务中，使所有资产相互关联到网络是由准则涵盖的。业务 应该通过明确实施物联网安全因素服务级别协议和管理这些因素 通过一个整体的IT/OT安全委员会 涉及所有利益相关者。 IoT生态系统 内部 外部 仪表   不清楚的本地规则 IoT网络 治理结构缺乏 定义的角色和职责 与物联网网络安全相关   Governance 没有与服务商定的规则 提供者 外部标准不同 很大程度上取决于内部标准 规则手册具有标准和明确的角色 (例如，安全架构师)    Human 员工无意中给予 访问网络员工不正确 配置或设置IoT网络  数据可用性不一致 创造机会外部威胁 通信错误引线到网络连接的 中断 培训，建设风险文化，提高 与合作伙伴的意识，例如通过 合同条款    拥有的设备使用不安全 通信协议 通过访问网络 另一个协议（例如，蓝牙）  租赁物联网平台解决方案 (PaaS)被黑客入侵软件更新是 执行不当或包含安全漏洞 定义的要求(如ISO)、审核 Technologies   数据可用性不一致 创造机会外部威胁 通信错误引线到网络连接的中断   Processes 通信协议到 外部接口不正确部署 由于服务水平低 协议，修复错误需要在日常运营中时间过长 监控、过程审核 C级参与 首席信息官、首席技术官、首 席运营官、首席执行官 定期风险会议 来源：ArthurD.Little VIEWPOINT 评估过程 在复杂的环境中，具有多个内部和外部参与者，实施有效的 物联网安全框架似乎具有挑战性。 ARTHURD.LITTLE 组织可以选择 ISO、IEC或美国国家标准 标准与技术研究所（NIST）。在选项中，ADL建议采用NIST框架由于其更全面 方法和更容易的映射。该方法必须是全面的，遵循NIST的五阶段模型： 1.识别。创建所有网络的清单- 整个业务中连接的物联网设备和由供应中的外部提供者使用 chain.Createafullassetregister,identify 并记录潜在风险，包括可能的未来的风险。确定在哪里 优势和潜在劣势。确认 供应商符合安全标准(例如， ISO)在自己的操作范围内，并确保所有员工具有适当的资格和认证。 2.保护。实施治理，控制， 和培训，以降低风险和确保安全。从最紧迫的弱点开始 确保重大问题得到迅速解决。围绕访问控制实施保障措施，数据安全和信息保护- 组织内外。定期运行 与所有相关员工进行意识培训和承包商，包括模拟攻击。 实施一个 有效的物联网安全性YFRAME工作CANAPPEAR挑战 3.检测。开发和实施全面的安全性整个生态系统的监测，包括OT和外部提供商。专注于明确检测异常和事件的过程， 有很好理解的升级到命名个人。 4.回应。有一个完整的计划在事件中立即发起响应检测到IoT安全攻击。这应包括内部和外部 沟通和要采取的行动 整个生态系统。回应应该经常被测试并受到 持续改进的过程。 5.Recover.制定并实施适当的维持弹性计划的活动 并恢复任何受损的服务 由于物联网安全漏洞。恢复计划应包括短期缓解措施 减少业务中断，并从长远来看人类的进步，技术， 并处理框架的各个部分。 VIEWPOINTARTHURD.LITTLE Conclusion 放置安全性Y FIRSTforIOT 证券Y目前处于低位优先级Y，让公司有风险 物联网的明显优势正在推动大规模技术的增长和投资，特别是 在工业和供应链场景中。然而，安全目前是一个低优先级，把公司有风险。因此，组织需要关注: 1创建全面的IoT安全性框架跨越生态系统和包括OT和传统IT。 2涵盖的不仅仅是技术to纳入来自人、流程、 和治理。 3了解角色两者的内部 和生态系统的外部部分，通过整个物联网产业的整体视图。 4执行标准通过C级参与。 采取这种方法将有助于释放 物联网，同时确保安全、不间断的运营。 VIEWPOINTARTHURD.LITTLE 附录-疫苗冷链中的物联网安全 COVID-19大流行和随后的疫苗推出已经证明了 制药冷链中的物联网-以及 需要识别和缓解。简单地说，如果许多疫苗超过一定的温度或在途中受损，它们失去效力， 将生命置于危险之中。因此，冷链不能被打断。这是一个完美的例子，说明物联网安全框架可以在整个供应中工作 链生态系统。 制药公司的冷链很复杂，涉及 multipleplayersandlocations(seeFigureA).It 从疫苗生产现场延伸到 储存设施(可能在其他国家)， 到当地的护理点(例如，医院)，以及 疫苗接种中心(例如，手术、弹出式诊所、和护理院）。它涉及各种各样的人