物聯網安全入門：挑戰和發展初期的實踐

組織使用物聯網 （IoT） 創造價值、降低成本或簡化運營。物聯網設備在創造商業機會的同時，也會帶來信息風險。

主要發現

·        近 20% 的組織已經檢測到基於 IoT 的攻擊。

·        幾乎所有組織都面臨物聯網風險，即使是那些試圖阻止物聯網的組織。

·        資訊安全最大的物聯網挑戰是低可見度和對物聯網設備以及組織如何使用這些設備的瞭解。

·        資訊安全職能部門有雄心勃勃的計劃，在未來 12 到 18 個月內採用以物聯網為中心的控制、流程和治理。

建議

領先的 CISO（資安長）採取以下步驟來定義和構建物聯網風險管理能力：

·        瞭解組織及其員工當前如何使用並計劃使用物聯網實現商業機會。

·        定義和分類組織面臨的物聯網風險類型。這些風險包括外部、購買方和銷售方物聯網風險。

·        明確分析資訊安全在物聯網風險管理中的作用，並與其他風險管理職能（例如法律、隱私、採購）合作，確定跨職能角色和責任。

·        認識到資訊安全面臨的物聯網安全挑戰，並制定應對這些挑戰的計劃。物聯網安全面臨的主要挑戰包括較差的能見度和理解度、缺乏標準化以及較差的供應商支援和安全實踐。

·        根據領先同行的建議和基準計劃，制定物聯網控制和緩解策略組合。

介紹

物聯網 （IoT） 現在是資訊安全的重中之重。物聯網的採用率持續呈指數級增長，高管們將物聯網視為數位化轉型的機遇，許多組織已經檢測到基於物聯網的攻擊。

物聯網（IoT）並不是一個新概念，但直到最近，它並不是大多數資訊安全領導者的主要關注點。從歷史上看，物聯網的採用率很低，尤其是對於關鍵企業應用。此外，物聯網設備不被視為對手有吸引力的目標：數據洩露和 DDoS 攻擊通常針對傳統伺服器，而不是新型連接設備。

物聯網 （物聯網）：普遍計算的現象;將計算能力、數據收集感測器和互聯網連接嵌入日常對象的趨勢日益增強

這種情況正在改變。超過 80% 的組織當前使用物聯網來解決業務使用案例，近 20% 的組織在過去三年中已經檢測到基於物聯網的攻擊。

展望未來，物聯網風險在大多數組織中都有望成倍增加。全球物聯網連接的數量繼續呈指數級增長，到2025年將達到250億。然而，只有不到三分之一的資訊安全專業人員對其職能能夠可靠地評估或降低物聯網風險充滿信心。

物聯網風險的三類

與領先的 CISO （資安長）的對話揭示了物聯網風險的三大類：外部風險、買方風險和賣出方風險。在定義資訊安全在物聯網風險管理中的角色之前，組織必須了解這些類別：

1. 外部物聯網風險（影響所有組織）-組織外部的物聯網設備可以被利用來對組織發起攻擊。範例包括 DDoS 攻擊、中間人漏洞和第三方違規。這些風險面向所有組織，不能始終直接管理，因為被利用的設備不在組織的職權範圍之外。相反，組織必須盡可能制定補償控制，以識別和管理外部物聯網風險。

2. 購買方物聯網風險（影響幾乎所有組織）-大多數組織以某種身份購買和使用物聯網設備，即使資訊安全部門不知道這些購買。特別是，CISO （資安長）列舉了三種在購買物聯網裝置時常見的疏忽方式：

·        採購可能沒有意識到某些採購存在信息風險，因此不涉及資訊安全。在傳統上未連接的產品（例如機械、電器、車輛）現在都以新興連線技術呈現，導致採購無法理解。

·        物聯網設備通常通過IT、採購或資訊安全範圍以外的業務主導採購獲得。

·        幾乎所有組織的員工都將自己的個人物聯網設備帶入工作場所，而不考慮物聯網政策、安全控制或正式的採購程式。

這些現實意味著幾乎所有組織都面臨（必須管理）物聯網風險，即使是在試圖阻止或大幅削減物聯網購買的組織。

3. 銷售方物聯網風險（影響某些組織）-開發、銷售物聯網設備或服務的組織面臨這些設備將被利用來損害客戶或組織本身的風險。這包括客戶數據盜竊、服務中斷、隱私問題，甚至對生命安全的影響。面臨銷售方物聯網風險的組織必須設計出各種方法，為其物聯網產品和服務建立足夠的安全性。

影響資訊安全在物聯網風險管理中的作用的因素

我們發現，在物聯網風險管理中，沒有一套固定方法來定義資訊安全。相反，每個資訊安全職能部門都應該採取最適合且更廣泛的方法。

CISO （資安長）在定義該職能在物聯網風險管理中的作用時，通常會考慮以下因素：

·        物聯網風險暴露類型－適用於組織的物聯網風險暴露類型（即外部、買方和賣方）影響信息安全在物聯網風險管理中的作用。 特別是，未暴露於賣方物聯網風險的組織可能不具備或不需要產品安全功能。

·        資訊安全的工作－資訊安全的任務、組織結構和報告管道以及組織內其他風險管理職能的授權、組織結構和報告管道影響了資訊安全在物聯網風險管理中的作用。例如，IT 以外的報告資訊安全功能可以編寫物聯網策略、定義物聯網控制並監督IT的實施和遵守物聯網政策和控制，而IT中報告的資訊安全功能可能擁有更多的日常物聯網安全操作。

·        行業－組織行業在確定資訊安全在物聯網風險管理中的作用方面起著重要作用。某些行業（例如公用事業、製造業）可能會大量使用聯網運營技術 （OT），物聯網風險管理實踐和規範可能會因行業而異。行業組織（例如 ISACs）和同行網路是理解、共用甚至建立物聯網風險管理實踐的良好資源。

結論

基於物聯網的攻擊已經成為現實，但大多數資訊安全功能剛剛開始考慮如何管理物聯網風險。領先的 CISO （資安長）及其團隊必須在組織中更廣泛地開展工作，以瞭解物聯網使用案例，教育和分類物聯網風險，並採用新興的物聯網安全實踐。隨著時間的推移，物聯網安全標準的出現、最佳實踐的發展以及供應商格局的成熟，信息安全職能將需要推進其物聯網風險管理實踐。