網絡安全仍是阻礙物聯網繼續(xù)飛速發(fā)展的主要原因,對安全性的擔憂降低了使用物聯網設備的可能����。
事實上����,貝恩咨詢公司的研究發(fā)現,如果企業(yè)客戶對網絡安全風險的擔憂問題得到解決�����,他們將愿意購買更多的物聯網設備��,且至少平均比他們擔憂這些問題未解決時購買的設備多70%�。此外,調查的93%高管表示他們會為安全性更高的設備平均多支付22%的費用�����。綜合而言,貝恩估計提高這些設備安全性可以使物聯網網絡安全市場增長90億美元至110億美元����。導致這種市場需求的原因之一可能是《歐盟通用數據保護法規(guī)》(GDPR)等新法規(guī)帶來的壓力越來越大,這些法規(guī)對安全性不足(包括數據泄露)的公司提出了嚴格的數據保護要求和懲罰���。
本文展現了研究和調查工作的結果��,包括與首席執(zhí)行官����、首席運營官����、首席信息官、首席信息安全官以及其他有關網絡安全和物聯網技術的商業(yè)和技術領導者的討論���。顯而易見����,最先進網絡安全的公司高管也最關心安全性問題�����。
物聯網設備供應商是制造物聯網設備的公司以及提供相關解決方案的公司��,他們目標明確:提高安全性以獲得競爭優(yōu)勢并擴大市場�����。
客戶對網絡安全的看法
所調查的大多數高管(60%)表示他們非常關注物聯網設備給他們公司帶來的風險���。這并不奇怪���,因為物聯網安全漏洞可能對運營、收入和安全造成損害��。當保護不當時����,物聯網設備可以允許訪問企業(yè)系統(tǒng),從而導致大量數據泄露�����。
帶病毒設備也可能被利用���,以對企業(yè)惡意攻擊���。2016年10月�,Mirai惡意軟件攻擊破壞了數千個傳感器�、攝像頭和其他設備,產生了一個龐大的僵尸網絡���,并發(fā)起了分布式拒絕服務攻擊����,破壞了熱門網站(包括GitHub�����、Netflix�����、Twitter和Airbnb)���。2018年1月��,Okiru(Mirai變體)可侵入數十億物聯網產品中廣泛使用的ARC處理器��,由此而被病毒入侵的物聯網設備也可以進行點擊欺詐���,導致廣告客戶每年損失數十億美元。遭病毒入侵設備也可用于挖掘加密貨幣�����,如比特幣和門羅幣����。
在確定防范這些類型攻擊的解決方案時,物聯網設備供應商可以根據網絡安全能力成熟度對其目標客戶進行細分���。這種細分有助于根據典型需求確定不同的方法�����,并反映出企業(yè)客戶的能力不是靜態(tài)的而是向更高級別發(fā)展的現狀�����。研究發(fā)現����,處于最不發(fā)達端的客戶更有可能尋求簡化和集成的安全解決方案,而那些具有更高級功能的客戶更愿意投資于最佳或定制的單點解決方案���。
在各個細分市場中���,幾乎所有高管都表示,物聯網設備對其組織構成了中等或重大的風險��。而相比那些網絡安全能力較弱的企業(yè)����,在網絡安全成熟度更高的公司中,主管人員看到的安全風險會更多��。
研究還表明���,某些行業(yè)的高管認為所在行業(yè)的物聯網風險高于其他行業(yè)�����。耐用品�、建筑工程�����、能源和公用事業(yè)、金融服務和技術行業(yè)的高管最有可能表達非常擔憂的想法����。這些擔憂反映了行業(yè)現實,而不僅僅是個別高管的看法���。例如,在能源行業(yè)方面�����,石油和天然氣生產商在其油井和鉆井平臺上依賴數以萬計的物聯網傳感器和復雜的生產控制裝置�����。能源公司使用來自這些物聯網設備的數據�����,這些設備平均每天可超過一太字節(jié)(TB)的速度在運行��,以實時地調整其運營同時保持嚴格的安全閾值�。完整性打折扣或破壞數據流動都可能導致災難性的破壞。
近一半的醫(yī)療保健高管認為所在行業(yè)物聯網存在重大安全風險�。醫(yī)院和診所越來越依賴來自各種供應商的連接診斷監(jiān)測和護理服務設備�,這些供應商從第三方獲取組件�。核磁共振、機器人輔助手術設備和藥物輸送泵都極大有可能受到未經授權的訪問�����。這將對患者安全構成明顯威脅�����。2017年9月���,美國工業(yè)控制系統(tǒng)網絡應急響應小組發(fā)現了無線注射器輸液泵的漏洞�,并警告說�����,如果不加以注意��,可能對患者構成重大威脅���。
制造商對物聯網的使用也為工業(yè)環(huán)境帶來新風險�。大型制造商可能會部署數千種物聯網設備,從傳感器到復雜的半自動機器人���。受病毒入侵的傳感器可能導致數據不準確�,從而阻礙管理層制定關鍵運營決策或制造嚴重影響整個價值鏈的庫存問題�����。在工廠上可能會發(fā)現更大的風險�,因為受損的機器人設備可能會引入微妙但危險的活動,或對工人和其他設備造成更大的破壞和傷害�。
客戶應對物聯網網絡安全的方案
與管理安全性的高管進行的對話表明�����,客戶需要高效����、易于集成和靈活部署的解決方案。公司根據其能力和供應商所提供市場解決方案的可用性�����,采取一系列方法來滿足其安全需求(參見圖6)�。目前使用的物聯網網絡安全解決方案中,只有約三分之一來自物聯網設備供應商,這表明供應商要么不提供滿足消費者需求的全面且高質量的解決方案��,要么他們不能很好地推廣方案����。
貝恩的研究發(fā)現,擁有最先進網絡安全功能的公司更多地依賴于內部開發(fā)的安全解決方案�����,這不僅是因為他們可能有更復雜的需求��,而且更有可能因為他們擁有開發(fā)自己解決方案的人才和能力�。具有自組安全功能的公司在所研究的所有物聯網使用對象中,其對安全解決方案的需求最大�。
供應商未能滿足客戶對網絡安全的需求
貝恩還研究了公司如何通過層層部署安全解決方案,并為物聯網設備供應商在每層找到了充足的機會����。
貝恩調查發(fā)現,訪問接口層具有最高級別的保護����,無論是內部開發(fā)還是由制造商或第三方提供。其他層由更多內部解決方案保護�����,或者在某些情況下根本沒有保護?��?蛻魧炔拷鉀Q方案的偏好可以通過考慮每個安全層的特定條件得到部分解釋����。
例如��,數據安全解決方案通常需要比基本物聯網設備上當前可用的計算和功率資源更多的計算和功率資源����。麻省理工學院的研究人員創(chuàng)造了一種新的芯片,可以使用1/400的功率和1/10的內存��,以當前芯片速度的500倍速度對物聯網設備進行加密�。但是�����,在這項新技術被廣泛采用之前���,制造商需要在設計方案時��,繼續(xù)平衡這一要求與物聯網設備的尺寸����、成本和功率。
硬件安全解決方案必須解決物理接口(如USB或以太網端口)�����、設備操作系統(tǒng)和固件的漏洞��。但很少有制造商在發(fā)貨之前充分測試硬件是否存在已知漏洞��,大部分設備不足在進行持續(xù)測試期間因新漏洞而暴露不足���。
最后��,IT安全操作必須管理和監(jiān)控其物聯網設備����,并結合來自其他五個層的日志數據進行�。雖然大多數企業(yè)都希望擁有一套緊密結合的工具,并且能夠全面了解其設備的安全狀況���,但很少有物聯網設備制造商能夠很好地了解客戶的運營情況�����,從而提供這種解決方案�。盡管如此,他們仍然可以與客戶合作�����,確定可信賴的第三方���,作為開發(fā)全面安全解決方案的合作伙伴���。
總的來說,這些類型的制造商缺點可能使客戶在考慮通過各個安全層以保護其物聯網設備時自行研發(fā)方案�����。由于缺乏精心設計的物聯網網絡安全產品和服務�,客戶正在設計自己的解決方案,完全放棄使用解決方案或直到供應商滿足自身要求才能實施相應方案�。
物聯網設備供應商獲取市場份額的方法
物聯網設備供應商和生態(tài)系統(tǒng)參與者迅速采取行動以提高物聯網設備的安全性�����,這不僅可以從他們獲得溢價的能力中獲得回報,還可以幫助他們擴展市場����。物聯網生態(tài)系統(tǒng)中的一些領導者正在加緊應對安全挑戰(zhàn),并抓住其中的機會�。亞馬遜創(chuàng)建了一個與其云產品集成的物聯網解決方案生態(tài)系統(tǒng)。它最近獲得了一個名為FreeRTOS的開源操作系統(tǒng)的許可�,該系統(tǒng)可以更輕松地開發(fā)、部署����、管理和保護低功耗物聯網設備,并可通過有助于物聯網設備管理以及數據和網絡安全的庫和工具對其進行增強�����。
同樣�,微軟的Azure IoT
Hub以設備配置、身份驗證和安全連接的形式提供設備管理和安全功能�。另一個例子是GE(一家工業(yè)物聯網設備制造商),其將網絡安全視為競爭優(yōu)勢���,并在戰(zhàn)略上努力將功能嵌入其物聯網技術的各個層面���。GE于2014年收購了Wurldtech���,并最終將Achilles安全產品與Predix
IoT管理平臺集成在一起。從運營的角度來看��,GE將風險管理和產品安全責任分配給整個組織的專職領導者���,他們確保將網絡安全優(yōu)先考慮并實施到其產品中����,包括物聯網設備����。這些努力代表著重要的進步,但它們本身并不足以解決使用物聯網所面臨的更廣泛的安全問題����。所有物聯網設備供應商都需要在設備的設計、開發(fā)和部署中更加注重安全性�����。下面四個步驟可以幫助高管完成這個任務��。
首先����,制造商需要了解客戶如何使用他們的設備。通過每12-18個月刷新一次認識客戶使用案例來保持最新情況��,這將使制造商能夠掌握不斷變化的安全要求并幫助確定未滿足的需求�����。確定其客戶的平均網絡安全成熟度水平將有助于制造商投資適當的即用和附加解決方案�。例如,自行開發(fā)方案客戶傾向于尋求經濟效益而不是最新最佳的解決方案�。
其次,制造商應在設備上提供網絡安全功能�,并在可能的情況下與可信賴的網絡安全供應商合作,以提供其他解決方案��。工程團隊應將安全開發(fā)實踐嵌入到設備的軟件和硬件組件中����,并為訪問接口、應用程序�、數據和設備層提供固有的解決方案。無論網絡安全成熟度如何����,大多數客戶都將使用這些可即用的功能����。
采取這些措施可以減少物聯網設備中的常見漏洞�����,例如默認或嵌入式密碼���、缺乏數據安全性的網絡憑證和網絡通信�����,以及確保系統(tǒng)完整性的薄弱安全措施����。制造商還可以與網絡安全供應商合作��,在數據�����、網絡和運營層提供售后解決方案�,有選擇地將這些解決方案集成到某些客戶群中。例如,具有一致安全性的客戶傾向于選擇集成解決方案��,而實踐企業(yè)則尋求最佳解決方案而不是集成解決方案����。
第三�,制造商還需要滿足質量保證,并能夠證明他們的物聯網設備沒有已知的漏洞���。對于有時安裝新設備但未發(fā)現其中包含漏洞的客戶而言��,這將減輕主要的危險點����。部署更有條理的流程來識別和刪除跨安全層的漏洞或參與第三方漏洞掃描和滲透測試企業(yè)可以幫助制造商�,這些做法都可滿足這一需求。定義具有明確義務的網絡安全保修期可告知客戶����,供應商負責的內容以及持續(xù)時間。綜合而言��,這些措施是網絡安全最佳辦法�����,可用于安全要求高的設備。
最后��,制造商可以在保修期內通過不斷測試新的漏洞����、提供軟件和固件更新以及提供可即用和售后解決方案的特性和功能升級。在整個保修期內�,為了應對新發(fā)現的安全漏洞而提供對固件、操作系統(tǒng)和應用程序的更新應始終是首要任務�����。
這四個步驟是一個開始����,但絕不是解決阻礙物聯網發(fā)展的安全問題的全部內容。雖然物聯網市場的增長似乎注定勢不可擋�,但許多企業(yè)客戶將繼續(xù)謹慎行事,直到他們能夠合理地確保其數據的安全性�����,并確保在越來越依賴于設備��、傳感器和物聯網的情況下,公司整體運營的安全性�。
(原標題:網絡安全成物聯網發(fā)展一大瓶頸 高效解決方案有望推動110億美元增長)
