物联网安全方案你知道哪一些

发布时间：2022-06-28 16:26:53 所属栏目：交互来源：互联网

导读：物联网安全性与IT安全性不同。行业专家有关如何很大程度地减少与物联网相关的网络风险的经验进行了分享。 1.对网络人才抱有现实期望众所周知，很多组织缺少经验丰富的网络安全专业人员。但是评估认为，在短短几年内，将会面临短缺数百万名网络工作者的情况

　　物联网安全性与IT安全性不同。行业专家有关如何很大程度地减少与物联网相关的网络风险的经验进行了分享。

　　1.对网络人才抱有现实期望

　　众所周知，很多组织缺少经验丰富的网络安全专业人员。但是评估认为，在短短几年内，将会面临短缺数百万名网络工作者的情况，这可能会给那些试图保护其网络、物联网设备和IT系统的组织可能会产生某种程度的绝望。

　　Howard说：“围绕网络安全技能差距这个话题似乎一直是人们谈论的与网络安全有关的首要话题。但是，有关该主题的讨论有时可能会偏离正轨。尽管网络人才短缺是现实存在的，坦率地说，所有市场都存在短缺。”从美国到德国再到日本再到英国，这些国家的失业率不到4%。寻找网络人才的组织应该寻求在短期内可能吸引哪些类型的专业人员，以帮助他们量化地降低其网络风险。

　　Howard说，网络安全市场对于分析师的需求很大。他解释说：“我认为，在网络安全组织结构图的顶端，并不缺少经验丰富的］员工。人们可能会说合格的员工短缺，但是我看到的是，当组织并不难找到首席信息安全官，但通常很难负担得起，这么因为对其市场需求很高。”

　　2.确保组织聘用的应聘者是合格并且提供报酬

　　在支持网络劳动力时，最好采用非传统策略，但是一个陷阱是，在雇用高级职位的工作人员时，他们的资格可能并不合格。Howard说：“我所看到的令人担忧的事情是，我与潜在客户进行了交谈，这些客户严重削弱了他们所在领域的网络安全领导者的技能。”

　　网络安全短缺是造成这个问题的原因之一。但是另一个原因是，企业董事会和领导者（例如首席执行官和首席信息官）对哪些技能对网络领袖至关重要缺乏了解。Howard说：人们往往对其必须为所需的专业技能付出的费用并不满意。”

　　3.跟踪第三方还不足以确保供应链安全

　　去年，彭博社发表了一篇题为《黑客如何利用微小的芯片渗透到企业》的文章。这个故事引发了亚马逊、苹果和超微公司的争议。尽管该文章的事实仍存争议，但确实引起人们对一般供应链攻击威胁的关注。通常，德勤公司建议组织仔细考虑第三方软件、硬件和服务的潜在安全影响。

　　一方面，越来越多的故事表明，威胁行为者正在寻找供应链中的受害者。例如，欧洲航空公司空中客车公司（Airbus）已成为针对其供应商的协同攻击的一部分。今年早些时候，行业媒体报道了针对至少六个组织的供应链攻击。

　　Peasley说，大型企业有时会有数千家第三方供应商，可能还会有数千家第四方和第五方供应商。虽然规模较小的公司往往有较小的供应商基础，但对供应链的关注同样重要。他说，“无论是将子组件放入组织可能构建的产品中的供应商，还是使用的软件产品，组织都需要考虑它们使用的数据类型的所有不同网络方面，以及可能嵌入到组织的环境或产品中的内容类型。”

　　4.整合IT和OT团队对于网络安全也至关重要

　　在许多工业和企业物联网环境中，信息技术人员，IT和运营技术人员的集成是一个长期的主题。在网络安全方面，由于传统上网络安全是前阵营的重点，因此将IT和OT集成的前景可能令人望而生畏。传统上，保护工厂或精炼厂等OT（运营技术）环境意味着将未经授权的人员留在禁区外。现在，它具有防止黑客干预可能引起灾难的系统的前景。霍华德说：“现在需要OT安全。”

　　5.安全标准有助于通过设计实现安全

　　如今，“设计安全”这个词经常被人提起，但要量化其含义并不总是那么容易。Peasley建议寻找优秀实践的标准和法规。他说：“人们可以了解NIST标准、某些IEEE标准、ISA/IEC62443标准等。这些文件包括将安全性设计为工业产品以及测试和认证这些产品的有用信息，并提出有效的网络安全战略。”他表示，物联网安全涉及与企业不同的思维方式，以及保护传统网络设备和基础设施设备的前景。例如，工业或医疗环境中的连接设备可能需要全天候正常运行。Peasley说：“与企业环境相比，OT（运营技术）环境中的约束条件往往不同。在这种情况下，标准可以帮助正式制定一项全面的安全战略，规定如何培训从开发人员到工程师的工作人员，同时定期评估组织的网络安全状况。”

　　6.采用实用主义应对新技术进行宣传和炒作

　　从人工智能到5G的引入都会对网络安全产生巨大影响，这一点很难避免进行宣传和炒作。

　　一旦5G的高带宽风格变得司空见惯，它可能会导致人们急于扩大许多类型的物联网设备的无线能力。Howard说：“用户交会连接到很多从未打算连接的设备上。”

　　7.边缘计算并不是一种安全解决方案

　　边缘计算的主要市场推广之一是其在网络安全方面的优势。这一前提下的基本逻辑是，在将计算尽可能地远离生成数据的位置时，这会网络使攻击者的目标更加困难。虽然在一定程度上可能是正确的，但事实确实有一个双刃剑因素。Howard说：“通常在边缘，组织只是没有一个更集中的架构中的安全控制。当我听到有人说：‘我将尽一切努力时，我会感到担心。’”

　　Gartner公司等调研机构的分析师并不认为边缘计算代表着偏离中央计算模型的趋势。相反，他们将其视为一种补充。从安全的角度来看，常见的混合边缘云计算模型的前景提高了在发送到云端或核心数据中心的元数据中使用安全匿名控件的重要性。Howard说：“当人们讨论‘边缘计算’时，基本上是从大数据集中提取功能，然后将这些功能发送回集中式数据存储。

　　Howard强调，“无论如何，云计算是许多用例的默认模型。云中的数据存储非常便宜，因此，除非用户进行大量查询，否则在云中存储可能是一件合理的事情。”

　　8.网络安全中的自动化也是一种威胁

　　围绕人工智能的话题可能还很多炒作，但实际上，无论是从进攻还是防御方面，网络安全的自动化程度都在不断提高。网络钓鱼并非唯一与物联网有关的例子，但它说明了这一原理。著名的一次OT（运营技术）网络安全攻击（例如2015年由网络引发的乌克兰电力中断）源自常规的网络钓鱼攻击。鉴于暗网中提供的软件工具可帮助网络攻击者简化攻击活动，并对其目标进行研究，Howard认为有针对性的网络钓鱼活动被称为“鱼叉式网络钓鱼”，并且随着时间的推移越来越严重。Howard说：“我们从客户那里听到这一信息。现在鱼叉式钓鱼方式变得更加可信。”

　　

（编辑：应用网_丽江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!