“安全性必须嵌入到运营计划的DNA中,以敦促企业创造出出色且安全的产品。如今,各种各样的产品正在成为网络的一部分:从烤箱到即时炊具,从3D打印机到汽车。企业组织必须考虑实际存在的问题,并将这些新挑战视为优先处理事项。”
如何创建物联网Security by Design(安全设计)
德勤公司公布的调查结果发现,许多企业(41%)表示,他们正在寻求行业和专业团体的指导,以便在其业务中创建安全设计。另有28%的受访者表示,他们期望监管实体和机构能够首先制定标准,而22%的受访者表示,他们已经在企业内部开展了自己的安全性做法。
德勤分析师表示,企业组织应该首先寻求了解同行的最佳实践和标准,然后再向监管机构寻求指导。
大约30%的受访者表示,他们没有使用过一套明确的产品网络安全要求,而只有28%的受访者表示,他们使用了行业定义的框架,41%的受访者表示,他们使用的是客户的框架,这表明行业在采用网络安全标准方面还有漫长的道路要走。
安全专家认为,对于寻求将设计安全性实施到物联网产品中的企业来说,需要考虑如下五个因素:
1. 了解产品安全性的当前状态并制定网络战略
无论是设计联网产品还是购买此类产品在内部实施,都必须要评估产品(包括其生产的数据)的保护方式,并制定网络战略以推动改进。
2. 建立安全设计实践
通过需求、风险评估、威胁建模和安全测试,将设计安全性集成到产品本身的设计或生态系统体系结构的设计之中。
3. 从顶层设定基调
确保合适的人员参与并拥有流程的所有权——从领导到相关的产品安全主题专家再到产品开发设计团队。
4. 拥有一支专业的团队,并为他们提供充足的资源
不要指望企业安全团队在缺乏任务资源的情况下能够顺利完成任务。建立一支专业的团队,该团队需要具备基于产品的经验,并根据需要为其提供培训,以帮助他们积累知识。
5. 利用行业可用资源
与其为您的设备供应商开发和提供独特的调查问卷,还不如使用公开的行业资源来得方便直接。
威胁不断加剧,你准备好了吗?
2020 年,随着 5G 部署持续推出,攻击也将接踵而至。无论何时,互联的东西越多,安全问题就越多。而让情况变得复杂的是,很多工业环境都部署着过时的遗留设备。恶意黑客将开始针对这些环境,带来严重后果,比如对配置的非授权修改——可致工业过程未按既定方式运转,因而造成工业事故、断电,甚至环境灾难。
没有哪个产品设计者会想创建出毫无安全性可言的联网产品。幸运的是,鉴于目前物联网安全所获得的关注度,情况正在不断改善。“Security by Design”(安全设计方法)也逐渐被行业认同并付诸实践中。