您还未登录! 登录 | 注册 | 帮助  

您的位置: 首页 > 软件开发专栏 > 网络/安全 > 正文

物联网治理:如何应对法规遵从性和安全挑战

发表于:2020-09-11 作者:李睿 编译 来源:51cto

物联网治理:如何应对法规遵从性和安全挑战

随着物联网在组织的网络中变得越来越普遍,有效的物联网治理问题也变得越来越重要。物联网系统的治理与组织的各种系统产生的数据密切相关。

越来越多的组织使用物联网设备挖掘更多数据来推动其业务运营,但物联网治理却相对有些落后。在正确采用物联网之后,组织利用不断增长的物联网设备网络将带来许多好处,其中包括提高收入和运营效率、降低成本,甚至创建新的业务模型。

但是,随着越来越多的物联网和边缘计算设备在组织网络中扩散,对严格有效的物联网治理模型的需求也越来越大。

Sectigo公司物联网/嵌入式解决方案副总裁Alan Grau解释说:“从治理的角度来看,组织网络中充斥着通常不安全、未经认证的设备,这引发了对合规性和网络安全性的严重担忧。由于设备安全性并没有与物联网的快速增长保持同步,不安全的物联网设备会使组织面临既不安全又不合规的风险。”

这种缺乏可见性和由此带来的不安全性得到Panaseer公司进行的一项研究的证实。在这个研究中,组织的安全主管将物联网设备视为其最不可见的资产。

Aptum科技公司的售前工程师Grant Duxbury说,“组织在物联网设备上很少能找到IP地址,即使有IP地址,也很难判断这一设备的功能以及所连接的设备。而在不同位置包含多个设备的多个网络中,其可见性将显著下降。这使组织安全团队完全看不到某个物联网设备带来的风险,以及恶意行为者可以利用哪些漏洞。”

为了确保这些物联网设备的安全性和合规性,组织可以按照以下步骤来确保物联网管理。

1.检查和安全审查

Duxbury建议,组织首次将物联网设备注册到生态系统中时需要进行严格的检查,并且应该查看制造商关于安全配置设备最佳方法的指南。

他说,“需要一份完整的清单将每个设备及其功能映射出来,以增加可见性,这将有助于在特定位置精确定位每个功能。还应部署具有监视、维护和自动更新功能的端到端设备管理工具,以确保每个设备在其整个生命周期内都得到有效管理。”

2.验证每个设备

Grau认为,跨网络处理物联网治理的最重要方法是对每台物联网设备进行身份验证。

他说,“易受攻击的物联网设备等同于易受攻击的网络。安全性必须是全面的,并且必须从物联网设备的身份验证开始。”

Grau表示,采用物联网网络的组织需要超越弱身份验证解决方案(例如密码)。取而代之的是,为了确保正确的物联网治理,组织坚持采用能够洞悉网络中每个设备并可以确保这些设备具有正确实施安全协议的管理系统。物联网管理门户通过确保所有设备都经过认证,并内置正确的公开密钥基础设施(PKI)解决方案,可以有效地管理网络。”

3.治理结构

SAP NS2公司首席信息安全官Ted Wagner表示,任何物联网治理计划中应包含的主题是“软件和硬件漏洞以及对安全性要求的遵从性(无论是基于法规还是基于策略)”。

他指的是在物联网设备中发现软件漏洞时的典型用例。在这种情况下,确定缺陷的严重性很重要。组织需要问这些问题:会导致安全事件吗?需要多快才能解决?如果无法修补软件,是否有另一种方法来保护物联网设备或减轻风险?

Wagner说,“应对物联网治理的一种良好方法是组织设立董事会作为治理结构。提案将会提交给组织董事会,董事会通常由6至12名成员组成,他们讨论新提案或变更的优点。他们可以通过接收定期的漏洞报告(包括有关漏洞的趋势或指标)来监视诸如软件漏洞之类的持续风险。有些组织的董事会拥有很多权力,而另一些董事会则可以充当高管或决策者的咨询职能。”

他补充说,“为实现最佳的物联网治理,组织需要透明性或风险可见性、识别特定风险的有效工作流程,以及采取行动以降低组织风险的机制。”

4.数据隐私

Talend公司首席产品营销经理Janet Liao警告说,在物联网治理方面,组织可能会做出下意识的反应,为此应该在任何治理计划中优先考虑数据隐私,而不是专注于加强数据安全。

她解释说,“物联网的核心是始终保持联系的概念。很多组织正在寻求捕获、共享、使用生成的大量客户数据来推动竞争优势。问题在于,在遵循通用数据保护条例(GDPR)情况下,数据隐私的定义范围很广,组织在采用物联网时可能会遇到很多麻烦。这是因为该法规对组织施加了更多的责任,以满足特定的隐私要求。这意味着组织必须采取适当的技术和措施,以确保不会侵犯人们隐私。可悲的是,对于大多数组织而言,这尚未得到适当解决,因此,随着引入物联网产生的数据,它将变得越来越复杂。”

5.物联网治理取决于产生的数据

CCS Insight公司首席运营官Martin Garner解释说:“物联网治理不应该和物联网所使用的产品或流程分离。围绕使用自动驾驶汽车或工厂机器人的治理问题将决定物联网系统的要求。其治理范围包括机器连接的强度、软件堆栈、任何机器学习和人工智能的质量。”

他继续说:“影响物联网治理的关键领域是将物联网内置到机器中以提高工业流程效率,或帮助员工更好地工作并保持安全。它可以包括使组织销售的产品更好地工作或允许使用其他业务模型。这些方法中的每一个都有不同的治理要求。物联网系统的治理与这些系统产生的数据密切相关,这些数据对用户或组织来说十分重要。”

原文标题:IoT governance: how to deal with the compliance and security challenges,原文作者:Nick Ismail