如今,随着越来越多的机器连接在一起,网络安全已成为每个制造商的心头之事团体和联盟出现作为一种促进自动化应用程序的安全标准和最佳实践的方法。而人们的注意力一直在控制系统上作为一些结果高调的数据泄露在美国,网络上可能还有上千个其他“小东西”——从传感器到3D打印机——都有可能成为向不良行为者敞开的大门。
考虑到这一点,德勤在2017年与Dragos合作为了扩大其工业控制系统的网络风险服务,该公司最近调查了4200多名专业人士,以评估他们对物联网(IoT)设备风险暴露的了解程度。根据受访者的反馈,在物联网和网络安全方面仍有很多需要克服的地方。
当被问到:您对您公司的连接产品、设备或其他“东西”目前的安全性有多大信心?在美国,人们的共识是:“不太好。”超过一半的受访者(51%)有一定的信心,而23%的人不确定或有些不自信。只有18%的人表示,他们对自己公司保护联网产品和设备安全的能力非常有信心。剩下8%的人表示他们“一点信心都没有”。
德勤表示,这种缺乏信心可能是由于整个行业在安全、网络风险和连接设备方面缺乏标准化。
与此同时,由不安全物联网设备引起的网络攻击、数据泄露和整体业务中断的数量正在增加,因为企业不知道他们面临的风险暴露的深度和广度。
根据德勤风险与财务咨询的网络实践和Dragos的数据,与当前物联网环境相关的十大安全风险包括:
1.没有一个安全和隐私程序
2.缺乏所有权/治理来驱动安全性和私密性
3.安全性没有纳入产品和生态系统的设计中
4.工程师和架构师的安全意识和培训不足
5.缺乏物联网/物联网和产品安全和隐私资源
6.对设备和系统的监控不足,无法检测安全事件
7.缺乏后市场/实施的安全和隐私风险管理
8.缺乏产品的可见性或没有完整的产品库存
9.识别和处理已部署和遗留产品的风险
10.缺乏经验/不成熟的事件响应过程
德勤(Deloitte)网络风险服务部门物联网安全主管肖恩•皮斯利(Sean Peasley)表示:“安全需要嵌入到运营项目的DNA中,使组织能够拥有伟大的产品,并拥有平和的心境。”“今天,各种各样的产品正在成为网络的一部分:从烤箱到速食炊具,从3D打印机到汽车。企业需要考虑哪些地方会出问题,并把这些挑战作为优先考虑的事项。”
为了将安全“嵌入”物联网,德勤和Dragos建议采用一种设计安全方法,包括持续监控和评估威胁,以管理工业控制系统(ICS)和操作技术(OT)环境的风险。一旦了解了对环境的威胁,公司就可以制定网络安全战略。
当然,德勤(Deloitte)和德拉哥斯(Dragos)也在提供帮助。该合作结合了Dragos资产盘点和ICS评估平台,绘制网络资产地图,并提供持续监控,德勤安全运营中心提供管理服务。设计安全方面包括将网络安全实践融入环境中。这包括:了解当前产品安全状况;在网络架构设计中加入风险评估、威胁建模和安全测试;让合适的人拥有这个过程的所有权,从领导层到安全主题专家;并利用行业可用资源。
为此,德勤(Deloitte)的调查结果显示,41%的受访者希望行业和专业组织在他们的公司内部推动设计安全方面提供指导。另有28%的人表示,他们首先向制定标准的监管机构和机构寻求帮助;22%的人表示,他们的主要做法是在内部开发的,以提供安全驾驶设计的指导。