物聯網安全性與IT安全性有所不同，行業專家就如何將物聯網相關網絡風險降到最低提出了建議。物聯網不斷擴大的攻擊面為從黑客到激進國家提供了危險的新視野。更為復雜的是，由于缺乏合格的網絡安全人才，圍繞著一些旨在幫助組織保護其網絡多種技術的炒作令人困惑。

　　物聯網安全性與IT安全性有所不同，行業專家就如何將物聯網相關網絡風險降到最低提出了建議。

　　物聯網不斷擴大的攻擊面為從黑客到激進國家提供了危險的新視野。更為復雜的是，由于缺乏合格的網絡安全人才，圍繞著一些旨在幫助組織保護其網絡多種技術的炒作令人困惑。

　　為了幫助組織應對物聯網安全帶來的挑戰，調研機構德勤公司風險與金融咨詢合作伙伴、物聯網安全資深人士Sean Peasley以及安全廠商Kudelski Security公司首席執行官Andrew Howard為此進行了分析。他們從網絡安全技能的差距、最小化供應鏈風險的挑戰，以及從人工智能到5G的所有內容的宣傳中權衡一切。

　　1.對網絡安全人才抱有現實期望

　　眾所周知，缺乏經驗豐富的網絡安全專業人員。但是，如果評估認為幾年內或即將出現數百萬網絡工作者的人員短缺，可能會給試圖保護其網絡、物聯網設備和IT系統的組織帶來一定程度的絕望。

　　Howard說：“圍繞網絡安全技能差距似乎一直是人們要談論的與網絡安全有關的首要話題。但是，有關該主題的討論有時可能會偏離正軌。盡管網絡人才短缺是現實的，但坦率地說，所有市場都存在短缺。”例如美國、德國、日本、英國這些國家的失業率不到4%。尋找網絡人才的組織應該尋求在短期內可能吸引哪些類型的專業人員，以幫助他們量化地降低其網絡風險。

　　Howard說，網絡安全市場對網絡安全人員的需求很大。他解釋說：“我認為，在網絡安全組織結構圖的頂端，并不缺少經驗豐富的員工。人們可能會爭辯說缺少合格的人才，但是我看到的是，組織通常難以負擔雇傭首席信息安全官的費用，因為市場需求太大。”

　　2.確保應聘者是合格且負擔得起

　　組織在為網絡員工提供支持時，最好采用非傳統策略，但是面臨的一個陷阱是，在聘請高級職位的員工時需要跳過資格要求。Howard說：“在我與潛在客戶溝通時，很多人表示，其所在組織的網絡安全領導者往往能力不足。”

　　是的，網絡安全短缺是導致此問題的一個因素。但是另一個因素是，企業董事會和領導人(例如首席執行官和首席信息官)缺乏對哪些技能對網絡領導者至關重要的理解。Howard說：“對于所需的專業知識技能，組織所需要支付的費用常常被低估了。”

　　3.跟蹤第三方還不足以確保供應鏈安全

　　彭博社在去年發表的一篇題為《大黑客：如何利用微小的芯片滲透到美國公司》的文章引發了亞馬遜、蘋果和Supermicro的爭議，他們都對這篇報道的真實性提出了質疑。雖然這篇文章的真實性仍然存在爭議，但它確實引起了人們對供應鏈攻擊威脅的普遍關注。一般來說，德勤公司建議組織仔細考慮第三方軟件、硬件和服務的潛在安全影響。

　　一方面，越來越多的事件表明，威脅行為者正在尋找供應鏈中的受害者。例如，歐洲空中客車公司(Airbus)已成為針對其供應商協同攻擊的一部分。今年早些時候，《連線》報道了一場針對至少6家企業的供應鏈攻擊。

　　Peasley表示，大型企業有時可能有數千個第三方供應商，并且可能還有成千上萬的第四方和第五方，盡管規模較小的企業往往具有較小的供應商基礎，但對供應鏈的關注同樣重要。他說，“無論是供應商將子組件放入組織可能要構建的產品中，還是它是組織使用的軟件產品，都需要考慮其使用的數據類型的所有不同網絡方面，以及可能嵌入到組織的環境或產品中的事物類型。”

　　4.整合IT和OT團隊對于網絡安全也至關重要

　　在許多工業和企業物聯網環境中，IT人員和運營技術(OT)人員的整合是一個長期的主題。在網絡安全方面，由于傳統上網絡安全是人們關注的重點，因此將IT和運營技術(OT)整合的前景可能令人望而生畏。傳統上，保護運營技術(OT)環境(如生產工廠或煉油廠)意味著不讓未經授權的人員進入限制區域。現在，它包括防止黑客干預可能導致系統災難的前景。Howard說：“運營技術(OT)在網絡安全方面現在很受歡迎.”

　　同樣，在工業環境中工作的IT安全專業人員應該明智地研究運營技術環境中固有的傳統安全程序。許多工業組織已經制定了數十年的安全計劃。Peasley說，“職責范圍擴展到運營技術的傳統IT安全專業人員需要對安全性有類似的看法，同時仔細考慮精煉廠或生產工廠物聯網設備的潛在安全后果。”

　　5.安全標準可以通過設計思路實現安全

　　如今，“設計安全”這個詞經常被人提起，但要量化其含義并不總是那么容易。Peasley建議尋找最佳實踐的標準和法規。他說：“例如NIST、IEEE、ISA/IEC 62443一些標準，這些標準包括將安全性設計為工業產品以及測試和認證這些產品的有用信息，并提出有效的市場網絡安全戰略。”他表示，物聯網安全涉及“與企業不同的思維方式”，以及保護“傳統網絡設備和基礎設施設備”的前景。例如，工業或醫療環境中的連接設備可能需要全天候正常運行。Peasley說：“與企業環境相比，運營技術環境中的約束條件往往不同。在這種情況下，標準可以幫助正式制定一個全面的安全戰略，規定如何培訓從開發人員到工程師的工作人員，同時定期評估組織的網絡安全狀況。”

　　6.采用實用主義減少對新技術進行炒作

　　從人工智能到5G的引入都會對網絡安全產生巨大影響，這一點很難避免一些宣傳和炒作。

　　Howard對人工智能一詞的廣泛使用表示懷疑。他說：“我對人工智能應用的看法是，現在有太多的炒作行為。我為此感到困惑。這只是能夠區分我認為的人工智能，即基于數學模型而非智能軟件做出獨立決策的機器。”

　　話雖如此，部署機器學習來檢測可能表明安全漏洞的異常仍然具有價值。在更廣泛的IT領域中，“IT運營的人工智能(AIOps)”術語已成為主流。德勤公司建議采用該策略，并采用一種涵蓋開發和運營(稱為DevSecOps)安全的設計方法來統一使用該策略。

　　關于正在興起的5G可能對物聯網安全和網絡安全產生的總體影響，Howard建議研究前幾代蜂窩通信技術的跡象，以獲得對未來可能的跡象。他說：“我猜測5G技術將遵循人們在3G、4G/LTE、LTE-M等領域看到的”典型脆弱性曲線。換句話說，一旦標準在現實世界中生效，入站攻擊就會增加。

　　一旦高帶寬的5G變得司空見慣，它可能會導致人們急于擴展許多類型的物聯網設備的無線功能。Howard說：“組織將會連接到許多本不想連接的設備上。”

　　7.邊緣計算并不能完全保證安全

　　邊緣計算的核心營銷策略之一是它在網絡安全方面的所謂好處。這一前提下的基本邏輯是，在盡可能靠近生成數據的位置推出計算時，會使網絡攻擊者的目標更加困難。雖然這在一定程度上可能是正確的，但事實上有一個雙刃劍的因素。Howard說：“通常，在邊緣計算機只是沒有安全控制，組織可能有一個更集中的架構。而當有人說：‘我要在邊緣做所有的事’時，我對此感到很擔心。”

　　Gartner公司分析師認為，邊緣計算并不代表著一種偏離集中計算模型的鐘擺。與其相反，他們認為這是一種補充。從安全角度來看，常見的混合邊緣云模型的前景增強了在發送到云平臺或核心數據中心的元數據中使用安全匿名控制的重要性。Howard說：“當人們談到‘邊緣計算’時，基本上是從大數據集中提取功能，然后將這些功能發送回集中的數據存儲。”

　　無論如何，Gartner公司強調說，“云計算是許多用例的默認模型。云中的數據存儲是如此便宜，以至于除非用戶進行大量查詢，否則存儲在云中可能是一件合理的事情。”

　　8.網絡安全中的自動化也是一種威脅

　　或許有人圍繞人工智能的話題可能會大肆宣傳和炒作，但實際上，無論是在進攻還是防御方面，網絡安全中的自動化程度都在不斷增長。網絡釣魚并非唯一與物聯網有關的例子，但它說明了這一原理。著名的運營技術(OT)網絡安全攻擊事件(例如2015年由網絡引發的烏克蘭電網中斷事件)源自常規的網絡釣魚攻擊。鑒于暗網的軟件工具的可用性，可以幫助網絡攻擊者簡化其活動并對其目標進行研究。

　　Howard認為有針對性的網絡釣魚活動(稱為魚叉式網絡釣魚活動)隨著時間的推移將會越來越嚴重。他說：“我們從客戶那里聽到了關于這一事實的信息，魚叉式釣魚活動日趨嚴重如今變得更加可信。”