应用

技术

物联网世界 >> 物联网新闻 >> 物联网热点新闻
企业注册个人注册登录

贝恩咨询:网络安全将成解决物联网需求的关键

2018-06-19 10:23 前瞻网

导读:物联网继续快速增长,但对安全性的担忧仍然是一个重要障碍,阻碍了物联网设备的采用。事实上,贝恩咨询的研究发现,如果企业客户对网络安全风险的关注得到解决,他们将愿意购买更多的物联网设备。

  物联网继续快速增长,但对安全性的担忧仍然是一个重要障碍,阻碍了物联网设备的采用。

  事实上,贝恩咨询的研究发现,如果企业客户对网络安全风险的关注得到解决,他们将愿意购买更多的物联网设备。

  另外,平均而言,如果他们的担忧仍未得到解决,他们的购买量至少会低70%。

  接受调查的高管中,93%表示他们将为安全性更高的设备平均支付额外22%的费用。

  贝恩咨询估计,改善这些设备的安全解决方案可能会使物联网网络安全市场增长90亿美元至110亿美元。

  这种意愿的一个原因可能是来自欧盟“通用数据保护条例”(GDPR)等新法规的压力增大,欧盟通用数据保护条例对数据安全失效(包括数据泄露)施加严格的数据保护要求,并对公司进行严格的处罚。

  贝恩表示,三年来研究人员与各企业CEO、COO、CIO和CISO进行了交谈,反馈的调查研究结果表明,具有最先进网络安全能力的公司的高管们,往往最担心难以预料的网络安全风险。

  对于物联网设备供应商(制造物联网设备的公司以及提供相关解决方案的公司),信息很明确:提高安全性,就可以获得竞争优势,抓住扩大自己市场份额的一大良机。

  企业客户如何看待网络安全?

  贝恩调查的大多数高管(60%)表示,他们非常担心物联网设备给其公司造成的风险 。这并不令人惊讶,因为物联网安全漏洞可能会对运营、收入和安全造成损害。如果保护得不好,IoT设备可以允许访问企业系统,从而导致大量数据泄露。

  受感染的设备也可能被黑掉,从而对企业进行破坏性攻击。2016年10月,Mirai恶意软件攻击危及成千上万的传感器、摄像头和其他设备,造成一个大规模的僵尸网络,发起分布式拒绝服务攻击,破坏热门网站——包括GitHub、Netflix、Twitter和Airbnb。

  2018年1月,名为Okiru的Mirai变体瞄准数十亿物联网产品中嵌入的ARC处理器的流行版本。被劫持的物联网设备也可以实施点击欺诈,每年让广告客户花费数十亿美元来进行调整和修复。受影响的设备也可以用来挖掘比特币和门罗币等加密货币。

  在确定防范这些类型攻击的解决方案时,物联网设备供应商可以通过网络安全能力成熟度来划分目标客户。这种分割有助于根据典型需求确定不同的方法,并反映企业客户的能力不是静态的,而是朝向更高级的方向发展。

  贝恩的研究发现,处于最低端的客户更有可能寻求简化和集成的安全解决方案,而拥有更高级功能的客户则倾向于投资最好的或定制的点式解决方案。

  几乎所有的管理人员都表示,物联网设备对他们的组织构成中等或重大的风险,而具有更高网络安全复杂性的公司的管理人员比具有较低复杂网络安全能力的公司的管理人员看到的风险更高。

  贝恩的研究还表明,一些行业内的高管认为自己所处的风险高于其他行业。

  耐用品、建筑和建设、能源和公用事业、金融服务和技术领域的高管们,最可能表达出重大关切。这些担忧反映了行业的现实情况,而不仅仅是个体行政人员的看法。

  例如,在能源方面,石油和天然气生产商依靠数以万计的物联网传感器和复杂的生产控制装置在他们的油井和钻井平台上工作。能源公司使用来自这些物联网设备的数据,这些设备平均一天可以产生超过1 TB的数据,因此几乎可以实时地调整其运营,同时保持严格的安全阈值。牺牲或破坏这些数据的流动,可能会导致灾难性的损害。

  近一半的医疗行政人员看到了重大的风险。医院和诊所越来越依赖来自一系列第三方组件供应商的连接诊断监控和护理交付设备。MRIs、机器人辅助手术设备和药物输送泵都为未经授权的访问提供了温床——这对患者安全构成了明显的威胁。

  2017年9月,美国工业控制系统网络应急响应小组确定了无线注射器输液泵的漏洞,并警告说,如果不加以解决,这些可能会对患者构成重大威胁。

  制造商使用物联网同样会在工业环境中引入新的风险。大型制造商可能会部署数千种物联网设备,从传感器到复杂的半自动机器人。受影响的传感器可能会导致数据不准确,从而妨碍管理层做出关键运营决策的能力,或在价值链上造成严重破坏的库存问题。在工地工厂可能会发现更大的风险,因为受损的机器人设备可能引入微妙但危险的活动,或对工人和其他设备造成更大的破坏和伤害。

  客户如何管理物联网网络安全?

  与管理安全管理人员的对话表明,客户需要高效、易于集成和灵活部署的解决方案。公司采取一系列方法来根据其能力和供应商提供的市场解决方案来满足他们的安全需求。

  目前使用的IoT网络安全解决方案中,仅有约三分之一来自IoT设备供应商,这表明供应商要么不能提供满足消费者需求的整体高质量解决方案,要么不能提供足够好的解决方案。

  贝恩研究发现,拥有最先进网络安全能力的公司更多地依赖内部开发的安全解决方案,这不仅因为他们可能有更复杂的需求,而且因为他们更有可能拥有开发自己解决方案的人才和能力。具有临时安全功能的公司在其测试的所有物联网层次中差距最大。

  客户需求脱节

  贝恩还研究了公司如何通过安全层部署解决方案,并为堆栈中的每一层物联网设备供应商找到了充足的机会。

  调查发现,无论是由制造商还是由第三方开发或提供,访问接口层都具有最高级别的保护(参见图7)。堆栈的其他层受到更多内部解决方案的保护,或者在某些情况下根本没有。客户对内部解决方案的偏好可以通过考虑每一层的特定条件来部分解释。

  例如,数据安全解决方案通常需要比目前基本物联网设备上更多的计算和功率资源。麻省理工学院(MIT)的研究人员已经开发出一种新型芯片,能够在物联网设备上使用1/400的功率和1/10的内存,以超出当前芯片500倍的速度进行加密。但是,在这项新技术被广泛采用之前,制造商需要在平衡这些要求与物联网设备的尺寸、成本和功耗之间平衡时,继续进行设计和功能之间的平衡折衷。

  硬件安全解决方案必须解决物理接口(如USB或以太网端口)、设备操作系统和固件上的漏洞。但是很少有制造商在发货前充分测试硬件与已知漏洞的关系,并且在针对新漏洞进行测试期间还有更多设备出现故障。

  最后,IT安全运营必须管理和监控他们的物联网设备,部分来自其他五层的日志数据。虽然大多数企业都希望有一套紧密合作的工具,以及他们设备安全状态的统一概述,但很少有物联网设备制造商很好地了解客户的运营情况,以提供这种解决方案。尽管如此,他们还是可以与客户合作,确定值得信赖的第三方,作为开发全面安全解决方案的合作伙伴。

  总体而言,这些类型的制造商缺陷可能会让客户自己面对在这些层面上保护他们的物联网设备。由于缺乏设计良好的物联网网络安全产品和服务,客户正在设计自己的解决方案——将它们整合为一体,或者在供应商填补空白之前选择不实施IoT解决方案。

  物联网设备供应商可以通过哪些途径来获得市场份额?

  物联网设备供应商和生态系统运营商迅速采取行动提高物联网设备的安全性,不仅可以从获得溢价的能力中获得回报,而且还可以从扩大的市场中获得回报。物联网生态系统中的一些领导正在加紧应对安全挑战并抓住相关机遇:亚马逊已经创建了一个与其云产品集成的物联网解决方案生态系统。它最近获得了一项名为FreeRTOS的开源操作系统的许可,该系统可以更轻松地开发、部署、管理和保护低功耗物联网设备,并通过库和工具对其进行增强,以帮助实现物联网设备管理以及数据和网络安全。同样,微软的Azure IoT Hub以设备配置、身份验证和安全连接的形式提供设备管理和安全功能。

  另一个例子是通用电气(GE),一家工业物联网设备制造商——它将网络安全视为竞争优势,并战略性地将这种能力嵌入其物联网技术的所有层面。GE于2014年收购了Wurldtech,并最终将Achilles安全产品与其Predix IoT管理平台相结合。从管理的角度来看,GE将风险管理和产品安全责任分配给整个组织的专职领导,确保网络安全成为优先考虑,并在其产品(包括物联网设备)中得到落实。

  这些努力代表了重要的进展,但仅凭自身不足以解决物联网采用面临的更广泛的安全问题。所有物联网设备供应商都需要更多地关注设备的设计、开发和部署中的安全性。四个步骤可以帮助高管们完成任务:

  首先,制造商需要了解客户如何使用他们的设备。通过每12到18个月刷新一次对客户用例的理解,保持最新状态,这将使他们能够保持不断变化的安全需求,帮助识别未满足的需求。确定其客户的平均网络安全成熟度水平将有助于制造商投资合适的开箱即用和附加解决方案。例如,特定的成熟客户倾向于寻求价值,而不是最新和最好的解决方案。

  其次,制造商应在设备上提供网络安全功能,并在可能的情况下与受信任的网络安全厂商合作提供其他解决方案。工程团队应将安全开发实践嵌入到设备的软件和硬件组件中,并为访问接口、应用程序、数据和设备层提供固有解决方案。无论网络安全成熟度如何,大多数客户都将使用这些即用型功能。

  采取这些措施可以缓解物联网设备中的常见漏洞,例如默认或嵌入式密码、证书和网络通信缺乏数据安全性,以及确保系统完整性的弱防护措施。制造商还可以投资建立与网络安全厂商的合作伙伴关系,在数据、网络和运营层面提供售后解决方案,有选择地将这些解决方案整合到一些客户群中。例如,具有一致安全性的客户倾向于选择集成解决方案,而最佳实践购买者则寻求最佳解决方案,而不是整合解决方案。

  第三,制造商还需要满足质量保证门槛,并能够证明他们的物联网设备没有已知的漏洞。这将缓解有时安装新设备但没有意识到它们包含漏洞的客户的关键痛点。部署更有条理的流程来识别和消除跨层漏洞,或参与第三方漏洞扫描和渗透测试,企业可以帮助制造商达到这一标准。另外,应当确定具有明确义务的网络安全保修期,告诉客户供应商应负责什么以及需要多长时间。综合起来,这些措施提供了一个强化设备,符合许多网络安全最佳实践。

  最后,制造商可以在保修期内履行义务,不断测试新的漏洞,提供软件和固件更新,以及开箱即用和售后解决方案的功能和功能升级。为了应对新发现的安全漏洞,向固件,操作系统和应用程序提供更新应始终是整个保修期内的重中之重。

  这四个步骤是一个开始,但绝不是整个开始解决阻碍物联网的安全问题所需的全部步骤。尽管物联网市场的增长似乎注定要继续其无情的进程,但许多企业客户将继续谨慎行事,直到他们能够对其数据的安全性进行合理保证,而不仅仅是其数据的安全性,还包括日益依赖设备,传感器和物联网。

  研究背景

  贝恩咨询《2017年物联网企业网络安全研究》吸引了来自加拿大、欧洲和美国的280多家公司反馈,它们在网络安全成熟度上差异很大,收入规模从1亿美元增至100亿美元,员工人数从200人增加至10,000多人。2018年物联网企业客户调查,则吸引了来自加拿大、欧洲、中国和美国的520多家公司的反馈,从1,000万美元到超过100亿美元的收入规模,员工人数从100人增加到10,000多人。