物聯(lián)網(wǎng)繼續(xù)快速增長�����,但對(duì)安全性的擔(dān)憂仍然是一個(gè)重要障礙�����,阻礙了物聯(lián)網(wǎng)設(shè)備的采用�����。
事實(shí)上��,貝恩咨詢的研究發(fā)現(xiàn)��,如果企業(yè)客戶對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的關(guān)注得到解決,他們將愿意購買更多的物聯(lián)網(wǎng)設(shè)備�。
另外,平均而言�,如果他們的擔(dān)憂仍未得到解決,他們的購買量至少會(huì)低70%��。
接受調(diào)查的高管中���,93%表示他們將為安全性更高的設(shè)備平均支付額外22%的費(fèi)用��。
貝恩咨詢估計(jì)�,改善這些設(shè)備的安全解決方案可能會(huì)使物聯(lián)網(wǎng)網(wǎng)絡(luò)安全市場增長90億美元至110億美元�����。
這種意愿的一個(gè)原因可能是來自歐盟“通用數(shù)據(jù)保護(hù)條例”(GDPR)等新法規(guī)的壓力增大���,歐盟通用數(shù)據(jù)保護(hù)條例對(duì)數(shù)據(jù)安全失效(包括數(shù)據(jù)泄露)施加嚴(yán)格的數(shù)據(jù)保護(hù)要求����,并對(duì)公司進(jìn)行嚴(yán)格的處罰���。
貝恩表示����,三年來研究人員與各企業(yè)CEO、COO��、CIO和CISO進(jìn)行了交談���,反饋的調(diào)查研究結(jié)果表明,具有最先進(jìn)網(wǎng)絡(luò)安全能力的公司的高管們��,往往最擔(dān)心難以預(yù)料的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)����。
對(duì)于物聯(lián)網(wǎng)設(shè)備供應(yīng)商(制造物聯(lián)網(wǎng)設(shè)備的公司以及提供相關(guān)解決方案的公司),信息很明確:提高安全性�,就可以獲得競爭優(yōu)勢(shì),抓住擴(kuò)大自己市場份額的一大良機(jī)��。
企業(yè)客戶如何看待網(wǎng)絡(luò)安全?
貝恩調(diào)查的大多數(shù)高管(60%)表示�����,他們非常擔(dān)心物聯(lián)網(wǎng)設(shè)備給其公司造成的風(fēng)險(xiǎn)
�。這并不令人驚訝,因?yàn)槲锫?lián)網(wǎng)安全漏洞可能會(huì)對(duì)運(yùn)營��、收入和安全造成損害。如果保護(hù)得不好�����,IoT設(shè)備可以允許訪問企業(yè)系統(tǒng)�,從而導(dǎo)致大量數(shù)據(jù)泄露���。
受感染的設(shè)備也可能被黑掉���,從而對(duì)企業(yè)進(jìn)行破壞性攻擊。2016年10月�,Mirai惡意軟件攻擊危及成千上萬的傳感器、攝像頭和其他設(shè)備����,造成一個(gè)大規(guī)模的僵尸網(wǎng)絡(luò),發(fā)起分布式拒絕服務(wù)攻擊�,破壞熱門網(wǎng)站——包括GitHub、Netflix��、Twitter和Airbnb����。
2018年1月�����,名為Okiru的Mirai變體瞄準(zhǔn)數(shù)十億物聯(lián)網(wǎng)產(chǎn)品中嵌入的ARC處理器的流行版本�。被劫持的物聯(lián)網(wǎng)設(shè)備也可以實(shí)施點(diǎn)擊欺詐����,每年讓廣告客戶花費(fèi)數(shù)十億美元來進(jìn)行調(diào)整和修復(fù)。受影響的設(shè)備也可以用來挖掘比特幣和門羅幣等加密貨幣����。
在確定防范這些類型攻擊的解決方案時(shí)�����,物聯(lián)網(wǎng)設(shè)備供應(yīng)商可以通過網(wǎng)絡(luò)安全能力成熟度來劃分目標(biāo)客戶����。這種分割有助于根據(jù)典型需求確定不同的方法,并反映企業(yè)客戶的能力不是靜態(tài)的�,而是朝向更高級(jí)的方向發(fā)展。
貝恩的研究發(fā)現(xiàn)���,處于最低端的客戶更有可能尋求簡化和集成的安全解決方案���,而擁有更高級(jí)功能的客戶則傾向于投資最好的或定制的點(diǎn)式解決方案。
幾乎所有的管理人員都表示�,物聯(lián)網(wǎng)設(shè)備對(duì)他們的組織構(gòu)成中等或重大的風(fēng)險(xiǎn),而具有更高網(wǎng)絡(luò)安全復(fù)雜性的公司的管理人員比具有較低復(fù)雜網(wǎng)絡(luò)安全能力的公司的管理人員看到的風(fēng)險(xiǎn)更高�����。
貝恩的研究還表明,一些行業(yè)內(nèi)的高管認(rèn)為自己所處的風(fēng)險(xiǎn)高于其他行業(yè)�。
耐用品、建筑和建設(shè)��、能源和公用事業(yè)����、金融服務(wù)和技術(shù)領(lǐng)域的高管們����,最可能表達(dá)出重大關(guān)切�。這些擔(dān)憂反映了行業(yè)的現(xiàn)實(shí)情況,而不僅僅是個(gè)體行政人員的看法。
例如�,在能源方面,石油和天然氣生產(chǎn)商依靠數(shù)以萬計(jì)的物聯(lián)網(wǎng)傳感器和復(fù)雜的生產(chǎn)控制裝置在他們的油井和鉆井平臺(tái)上工作���。能源公司使用來自這些物聯(lián)網(wǎng)設(shè)備的數(shù)據(jù)���,這些設(shè)備平均一天可以產(chǎn)生超過1
TB的數(shù)據(jù),因此幾乎可以實(shí)時(shí)地調(diào)整其運(yùn)營����,同時(shí)保持嚴(yán)格的安全閾值。犧牲或破壞這些數(shù)據(jù)的流動(dòng)�����,可能會(huì)導(dǎo)致災(zāi)難性的損害���。
近一半的醫(yī)療行政人員看到了重大的風(fēng)險(xiǎn)。醫(yī)院和診所越來越依賴來自一系列第三方組件供應(yīng)商的連接診斷監(jiān)控和護(hù)理交付設(shè)備�。MRIs、機(jī)器人輔助手術(shù)設(shè)備和藥物輸送泵都為未經(jīng)授權(quán)的訪問提供了溫床——這對(duì)患者安全構(gòu)成了明顯的威脅����。
2017年9月,美國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組確定了無線注射器輸液泵的漏洞,并警告說��,如果不加以解決�,這些可能會(huì)對(duì)患者構(gòu)成重大威脅���。
制造商使用物聯(lián)網(wǎng)同樣會(huì)在工業(yè)環(huán)境中引入新的風(fēng)險(xiǎn)�。大型制造商可能會(huì)部署數(shù)千種物聯(lián)網(wǎng)設(shè)備���,從傳感器到復(fù)雜的半自動(dòng)機(jī)器人����。受影響的傳感器可能會(huì)導(dǎo)致數(shù)據(jù)不準(zhǔn)確����,從而妨礙管理層做出關(guān)鍵運(yùn)營決策的能力,或在價(jià)值鏈上造成嚴(yán)重破壞的庫存問題��。在工地工廠可能會(huì)發(fā)現(xiàn)更大的風(fēng)險(xiǎn)�����,因?yàn)槭軗p的機(jī)器人設(shè)備可能引入微妙但危險(xiǎn)的活動(dòng)���,或?qū)と撕推渌O(shè)備造成更大的破壞和傷害��。
客戶如何管理物聯(lián)網(wǎng)網(wǎng)絡(luò)安全?
與管理安全管理人員的對(duì)話表明���,客戶需要高效�����、易于集成和靈活部署的解決方案�����。公司采取一系列方法來根據(jù)其能力和供應(yīng)商提供的市場解決方案來滿足他們的安全需求�。
目前使用的IoT網(wǎng)絡(luò)安全解決方案中��,僅有約三分之一來自IoT設(shè)備供應(yīng)商����,這表明供應(yīng)商要么不能提供滿足消費(fèi)者需求的整體高質(zhì)量解決方案,要么不能提供足夠好的解決方案��。
貝恩研究發(fā)現(xiàn)���,擁有最先進(jìn)網(wǎng)絡(luò)安全能力的公司更多地依賴內(nèi)部開發(fā)的安全解決方案,這不僅因?yàn)樗麄兛赡苡懈鼜?fù)雜的需求,而且因?yàn)樗麄兏锌赡軗碛虚_發(fā)自己解決方案的人才和能力��。具有臨時(shí)安全功能的公司在其測試的所有物聯(lián)網(wǎng)層次中差距最大��。
客戶需求脫節(jié)
貝恩還研究了公司如何通過安全層部署解決方案����,并為堆棧中的每一層物聯(lián)網(wǎng)設(shè)備供應(yīng)商找到了充足的機(jī)會(huì)。
調(diào)查發(fā)現(xiàn)����,無論是由制造商還是由第三方開發(fā)或提供,訪問接口層都具有最高級(jí)別的保護(hù)(參見圖7)���。堆棧的其他層受到更多內(nèi)部解決方案的保護(hù)���,或者在某些情況下根本沒有?���?蛻魧?duì)內(nèi)部解決方案的偏好可以通過考慮每一層的特定條件來部分解釋。
例如����,數(shù)據(jù)安全解決方案通常需要比目前基本物聯(lián)網(wǎng)設(shè)備上更多的計(jì)算和功率資源�����。麻省理工學(xué)院(MIT)的研究人員已經(jīng)開發(fā)出一種新型芯片�����,能夠在物聯(lián)網(wǎng)設(shè)備上使用1/400的功率和1/10的內(nèi)存�����,以超出當(dāng)前芯片500倍的速度進(jìn)行加密��。但是�,在這項(xiàng)新技術(shù)被廣泛采用之前�,制造商需要在平衡這些要求與物聯(lián)網(wǎng)設(shè)備的尺寸、成本和功耗之間平衡時(shí)��,繼續(xù)進(jìn)行設(shè)計(jì)和功能之間的平衡折衷�。
硬件安全解決方案必須解決物理接口(如USB或以太網(wǎng)端口)、設(shè)備操作系統(tǒng)和固件上的漏洞��。但是很少有制造商在發(fā)貨前充分測試硬件與已知漏洞的關(guān)系���,并且在針對(duì)新漏洞進(jìn)行測試期間還有更多設(shè)備出現(xiàn)故障��。
最后�����,IT安全運(yùn)營必須管理和監(jiān)控他們的物聯(lián)網(wǎng)設(shè)備��,部分來自其他五層的日志數(shù)據(jù)���。雖然大多數(shù)企業(yè)都希望有一套緊密合作的工具,以及他們?cè)O(shè)備安全狀態(tài)的統(tǒng)一概述�����,但很少有物聯(lián)網(wǎng)設(shè)備制造商很好地了解客戶的運(yùn)營情況�����,以提供這種解決方案�。盡管如此,他們還是可以與客戶合作����,確定值得信賴的第三方,作為開發(fā)全面安全解決方案的合作伙伴�。
總體而言���,這些類型的制造商缺陷可能會(huì)讓客戶自己面對(duì)在這些層面上保護(hù)他們的物聯(lián)網(wǎng)設(shè)備。由于缺乏設(shè)計(jì)良好的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)���,客戶正在設(shè)計(jì)自己的解決方案——將它們整合為一體����,或者在供應(yīng)商填補(bǔ)空白之前選擇不實(shí)施IoT解決方案�����。
物聯(lián)網(wǎng)設(shè)備供應(yīng)商可以通過哪些途徑來獲得市場份額?
物聯(lián)網(wǎng)設(shè)備供應(yīng)商和生態(tài)系統(tǒng)運(yùn)營商迅速采取行動(dòng)提高物聯(lián)網(wǎng)設(shè)備的安全性�����,不僅可以從獲得溢價(jià)的能力中獲得回報(bào)���,而且還可以從擴(kuò)大的市場中獲得回報(bào)�����。物聯(lián)網(wǎng)生態(tài)系統(tǒng)中的一些領(lǐng)導(dǎo)正在加緊應(yīng)對(duì)安全挑戰(zhàn)并抓住相關(guān)機(jī)遇:亞馬遜已經(jīng)創(chuàng)建了一個(gè)與其云產(chǎn)品集成的物聯(lián)網(wǎng)解決方案生態(tài)系統(tǒng)����。它最近獲得了一項(xiàng)名為FreeRTOS的開源操作系統(tǒng)的許可,該系統(tǒng)可以更輕松地開發(fā)���、部署、管理和保護(hù)低功耗物聯(lián)網(wǎng)設(shè)備�����,并通過庫和工具對(duì)其進(jìn)行增強(qiáng)��,以幫助實(shí)現(xiàn)物聯(lián)網(wǎng)設(shè)備管理以及數(shù)據(jù)和網(wǎng)絡(luò)安全�。同樣,微軟的Azure
IoT Hub以設(shè)備配置���、身份驗(yàn)證和安全連接的形式提供設(shè)備管理和安全功能�。
另一個(gè)例子是通用電氣(GE)����,一家工業(yè)物聯(lián)網(wǎng)設(shè)備制造商——它將網(wǎng)絡(luò)安全視為競爭優(yōu)勢(shì),并戰(zhàn)略性地將這種能力嵌入其物聯(lián)網(wǎng)技術(shù)的所有層面���。GE于2014年收購了Wurldtech�,并最終將Achilles安全產(chǎn)品與其Predix
IoT管理平臺(tái)相結(jié)合���。從管理的角度來看��,GE將風(fēng)險(xiǎn)管理和產(chǎn)品安全責(zé)任分配給整個(gè)組織的專職領(lǐng)導(dǎo)�,確保網(wǎng)絡(luò)安全成為優(yōu)先考慮,并在其產(chǎn)品(包括物聯(lián)網(wǎng)設(shè)備)中得到落實(shí)�����。
這些努力代表了重要的進(jìn)展�,但僅憑自身不足以解決物聯(lián)網(wǎng)采用面臨的更廣泛的安全問題。所有物聯(lián)網(wǎng)設(shè)備供應(yīng)商都需要更多地關(guān)注設(shè)備的設(shè)計(jì)����、開發(fā)和部署中的安全性。四個(gè)步驟可以幫助高管們完成任務(wù):
首先��,制造商需要了解客戶如何使用他們的設(shè)備�。通過每12到18個(gè)月刷新一次對(duì)客戶用例的理解,保持最新狀態(tài)���,這將使他們能夠保持不斷變化的安全需求�,幫助識(shí)別未滿足的需求��。確定其客戶的平均網(wǎng)絡(luò)安全成熟度水平將有助于制造商投資合適的開箱即用和附加解決方案。例如�,特定的成熟客戶傾向于尋求價(jià)值,而不是最新和最好的解決方案���。
其次���,制造商應(yīng)在設(shè)備上提供網(wǎng)絡(luò)安全功能,并在可能的情況下與受信任的網(wǎng)絡(luò)安全廠商合作提供其他解決方案�����。工程團(tuán)隊(duì)?wèi)?yīng)將安全開發(fā)實(shí)踐嵌入到設(shè)備的軟件和硬件組件中����,并為訪問接口��、應(yīng)用程序����、數(shù)據(jù)和設(shè)備層提供固有解決方案。無論網(wǎng)絡(luò)安全成熟度如何�����,大多數(shù)客戶都將使用這些即用型功能。
采取這些措施可以緩解物聯(lián)網(wǎng)設(shè)備中的常見漏洞����,例如默認(rèn)或嵌入式密碼、證書和網(wǎng)絡(luò)通信缺乏數(shù)據(jù)安全性���,以及確保系統(tǒng)完整性的弱防護(hù)措施����。制造商還可以投資建立與網(wǎng)絡(luò)安全廠商的合作伙伴關(guān)系����,在數(shù)據(jù)、網(wǎng)絡(luò)和運(yùn)營層面提供售后解決方案����,有選擇地將這些解決方案整合到一些客戶群中。例如����,具有一致安全性的客戶傾向于選擇集成解決方案,而最佳實(shí)踐購買者則尋求最佳解決方案�����,而不是整合解決方案。
第三��,制造商還需要滿足質(zhì)量保證門檻���,并能夠證明他們的物聯(lián)網(wǎng)設(shè)備沒有已知的漏洞�����。這將緩解有時(shí)安裝新設(shè)備但沒有意識(shí)到它們包含漏洞的客戶的關(guān)鍵痛點(diǎn)�。部署更有條理的流程來識(shí)別和消除跨層漏洞���,或參與第三方漏洞掃描和滲透測試��,企業(yè)可以幫助制造商達(dá)到這一標(biāo)準(zhǔn)。另外����,應(yīng)當(dāng)確定具有明確義務(wù)的網(wǎng)絡(luò)安全保修期,告訴客戶供應(yīng)商應(yīng)負(fù)責(zé)什么以及需要多長時(shí)間����。綜合起來,這些措施提供了一個(gè)強(qiáng)化設(shè)備�����,符合許多網(wǎng)絡(luò)安全最佳實(shí)踐。
最后�����,制造商可以在保修期內(nèi)履行義務(wù)�����,不斷測試新的漏洞�,提供軟件和固件更新,以及開箱即用和售后解決方案的功能和功能升級(jí)����。為了應(yīng)對(duì)新發(fā)現(xiàn)的安全漏洞,向固件��,操作系統(tǒng)和應(yīng)用程序提供更新應(yīng)始終是整個(gè)保修期內(nèi)的重中之重����。
這四個(gè)步驟是一個(gè)開始,但絕不是整個(gè)開始解決阻礙物聯(lián)網(wǎng)的安全問題所需的全部步驟����。盡管物聯(lián)網(wǎng)市場的增長似乎注定要繼續(xù)其無情的進(jìn)程���,但許多企業(yè)客戶將繼續(xù)謹(jǐn)慎行事,直到他們能夠?qū)ζ鋽?shù)據(jù)的安全性進(jìn)行合理保證�����,而不僅僅是其數(shù)據(jù)的安全性�����,還包括日益依賴設(shè)備����,傳感器和物聯(lián)網(wǎng)。
研究背景
貝恩咨詢《2017年物聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全研究》吸引了來自加拿大��、歐洲和美國的280多家公司反饋�����,它們?cè)诰W(wǎng)絡(luò)安全成熟度上差異很大����,收入規(guī)模從1億美元增至100億美元�����,員工人數(shù)從200人增加至10,000多人。2018年物聯(lián)網(wǎng)企業(yè)客戶調(diào)查�����,則吸引了來自加拿大����、歐洲、中國和美國的520多家公司的反饋���,從1,000萬美元到超過100億美元的收入規(guī)模�,員工人數(shù)從100人增加到10,000多人����。
