物联网安全意识-为什么它重要,为什么它仍然是组织关注的问题

物联网安全意识还不是Trend Micro的研究成果,由范森·伯恩主持。然而,如果我们看一下其他的研究,这个问题似乎更大,而且仍然是关于网络安全意识和培训的。一些外卖,从gdpr意识和分析师建议徳赢中国中吸取的经验,重点是IIOT.

今天网络攻击的一个共同主题是,许多攻击是由于缺乏安全意识,物联网安全更加突出了这一点。 (Kevin Simzer,Trend Micro首席运营官)

vwin免佣百家乐 对于几乎所有的产品来说,安全性是一个主要的挑战,并且将继续是一个主要的挑战,解决,以一种或另一种方式涉及物联网技术的部署和倡议:来自面向消费者的应用程序和事物(几年前我们解决了提高认识的需要)至工业物联网(IIoT).

显然,有各种方法可以增强安全性。然而,没有物联网安全意识和良好的策略(你不能在没有意识的情况下计划和定义策略)你什么也得不到。

当然,网络安全是,和,再一次,仍然是所有技术和数据相关活动的关键问题。换言之:组织现在做的很多事情。不然怎么可能呢?当数据是胶水时(和)个人资料金矿——对黑客也是如此)“坏人”继续想出利用漏洞和其他方法来实现他们的目标的新方法。

物联网安全意识趋势微观研究

然而,在工业物联网环境中徳赢中国 ,工业控制系统和SCADA系统像在工业环境中一样,挑战是完全不同的。

仍然,还有许多共同的教训,其中一些是,或者至少现在应该是相对明显的。而且,总体来说,在安全方面是这样的,基本要素缺乏太多,即使物联网安全技术成熟度在不断提高,在其他中,一篇文章中提到的工业环境物联网安全预测和趋势.这就是这个关于物联网安全意识的帖子出现的地方。

物联网安全意识——员工的习惯

有两个直接的“触发器”为什么我们写这篇关于物联网安全意识的文章,重点放在iiot上,尽管总体原因是物联网的重要性日益增加,而且事实上,物联网安全仍然是一个大问题,它减慢了采用速度,是许多工业使用案例和倡议的主要事实风险因素之一。

第一个原因或触发因素是Sailpoint 2018年市场脉搏调查结果 (11月12日发布,2018),表明员工的安全相关习惯似乎再次恶化。75%的员工承认跨账户重复使用密码,例如。2014年,56%的应诉员工“仅此一例”。虽然这似乎与物联网安全意识无关,但部分是。这份报告让我们想知道,总体上安全风险意识如何。

它如此努力保护的同一个劳动力,由于不遵守网络安全最佳实践或良好的密码卫生,使得他们的工作更加困难。 (赛点)

让我们解释一下。您可能还记得这个名为gdpr的个人数据保护框架的存在。徳赢中国在走向合规的道路上,第一步是什么?徳赢中国GDPR意识.

这不仅仅意味着你需要知道gdpr的存在。徳赢中国它还意味着了解组织的风险(包括了解和映射它们),让高管们意识到,培训员工(谁也需要知道)关于如何处理个人数据,当然也要提醒他们在归根结底是安全问题时该做什么,不该做什么。所以,在这个意义上有“令人担忧的迹象”,这让我们觉得有点奇怪,正如赛点所说,“说到员工的网络安全习惯,历史重演”。

不是“历史重演的一部分”,而是“为什么是现在?”突然出现的问题——难道我们不能从我们从gdpr中学到的教训中吸取教训吗?徳赢中国还有更多的监管要求,数据保护和隐私,当然还有更多的安全关注,也涉及物联网。正如合规性需要不断努力,在执行层面上提高安全意识,获得行政指导并培训需要培训的人员,取决于他们的角色。顺便说一句,根据航点调查,66%的受访者不知道gdpr是什么,这就解释了很多。徳赢中国

到2022年底,一半以资产为中心的组织将制定数字安全风险战略,以解决物联网对IT和OT的安全影响。 (加特纳)

在一篇关于物联网安全支出直到2021年,我们引用加特纳.公司预测到2021年,法规遵从性将成为物联网安全的主要影响因素。此外,在我们为gdpr做准备的时候,有很多关于物联网安全意识的争论。徳赢中国物联网安全是复杂的,涉及不同的利益相关者,其中一些人在安全的IT方面没有太多经验。此外,这些利益相关者还包括各种合作伙伴。徳赢中国从定义上讲,gdpr遵从性是一个整体性的练习,不可避免地涉及到个人数据所发生的更广泛的生态系统。简单地说:你需要参与数据处理器,各部门(在IT和管理人力资源方面,营销,你说出它的名字)当然,合作伙伴也要完成。这似乎是一个“生态系统”的过程——至少如果你做得对的话。生态系统不正是我们在物联网和物联网安全中所说的吗?

物联网安全意识筒仓挑战和IIOT安全意识

显然,阻碍人们所谓的更全面的安全意识方法的诸多挑战之一是永恒的筒仓,在物联网安全意识方面,尽管更多的是在文化层面上,思维和技能,以及不同群体的思维方式。

工业物联网仍然存在IT与OT.虽然IT和OT中的风险重叠,它们确实是不同的。过程,系统,有一些关键的区别。然而,当我们谈论物联网安全意识时,我们真正谈论的是文化和传统。IT和OT融合至少是一个技术问题,这不是一个秘密。

IIOT安全预测Gartner 2022

同时Gartner消除了这个神话OT和IIOT可以使用IT方法评估风险和威胁,该公司还表示,“IT和OT文化不相容,但需要执行指导才能实现初始一致性”。当然,随着我们进入这个IIOT和IP的世界,网络安全正在演变成一个单一的有机体,正如Gartner所补充的那样,我们在OT和其他领域看到了越来越多的IT协议。

网络安全与培训人员不同(必须遵守员工必须遵守的必要准则和规则,并成为“合同”的一部分)关于他们也用于工作的应用程序和设备的使用,名单还在继续。根据Gartner的说法 (及上述职位)大多数物联网安全实现都发生在业务部门的级别上,因此它确实参与其中,但还不够。这不应该是一个惊喜,但你有它:一致性,筒仓,剔除关键利益相关者,一切都是重叠的。

当你开始考虑责任的时候,情况会变得更糟。ASPonemon研究所代表Aruba进行的全球研究表明:“即使是物联网安全的所有权模型也存在潜在风险”—还有其他什么可能?当问到谁负责物联网安全时,答案非常多样化,从“首席信息官,CISO首席技术官,以及业务线领导,没有多数同意。只有33%的人确定了首席信息官,没有其他执行或职能部门的响应总数超过20%。

然而,最大的意外(实际上不是那么大)是“没有功能”是第三高的答案,15%的受访者回答。

根据Ponemon Institute Research 2018,组织中的物联网安全所有权

这给我们带来了物联网安全意识岗位的第二个原因或触发因素:趋势微报告,11月19日宣布,2018,重点是IT执行官。

我们的重点是不。这也与趋势微的另一个公告,网络安全公司和工业通信/网络公司Moxa共同签署了一份成立合资公司的意向书:TXONE Networks。它将关注iiot环境中的安全需求,“包括在内智能制造,智慧城市,智能能源等。

全球86%的受访IT和安全决策者认为,他们的组织需要提高对物联网威胁的认识。这种严重的知识缺乏伴随着与连接设备相关的威胁级别和安全挑战的上升,这使得组织面临巨大的风险 (趋势科技)

对工业物联网的关注当然不是巧合,因为,正如过去所显示的,在这里,漏洞和攻击的影响可能非常大(最大的物联网消费者仍然是制造业等行业).引用IDC的一篇文章网络安全风险,IIOT中的解决方案和演变,“与运营技术的更大连通性使运营团队暴露于IT团队习惯于看到的攻击类型,但风险更大”。

此外,看起来眼前的未来不会更好,带我们去看另一份最近的报告。11月初德克萨斯州的forcepoint强调“制造业和类似行业中断的可能性使威胁更加严重……崩溃和幽灵给了攻击者一种针对硬件漏洞的方法,云基础设施可能是下一个目标”。我们可以添加到部分解决方案中的其他主题之一:边缘计算.然而,这是另一个故事,因为部分解决方案是在人类之上的,文化,组织和战略方面,当然,要解决物联网安全问题,需要使用边缘技术,当然人工智能,举几个例子。

物联网安全意识——也是确定最薄弱环节的优先顺序问题。

回到趋势微。所以,据该公司称,物联网安全意识严重不足。Trend Micro发现,大多数受访者(86%)认为他们的组织需要提高对物联网威胁的认识。

研究,由Vanson Bourne主持,基于1150名IT和安全领导的民意调查。在这个范围内,我们可以更多地将物联网安全意识视为IT的一个问题,高管和领导层,我们当然可以在更广泛的认识和培训方法的背景下看到它。

为了防止物联网安全攻击,超过50%的受访IT和安全决策者报告说,他们在安全解决方案中优先考虑一些关键功能。监控异常行为和脆弱性管理是缓解物联网设备受损风险最受欢迎的要求。 (趋势科技)

当我们说在安全和物联网安全方面最薄弱的环节是人的时候,这是在开大门。在工业环境中没有什么不同。在一篇关于车间网络安全,密码相关和人为挑战是该车间最薄弱环节的风险之一,人机界面系统HMI/SCADA软件.这只是众多例子中的一个。

当然,有许多vendor-related方面(例如)在HMI环境中缓慢修补)选择那些有生态系统的供应商是确保适当的物联网安全的关键。然而,当然,围绕组织的另一种方式应该以一种不那么特别的方式工作,正如Gartner所说。当然,人的因素在这里也起着关键作用。

不管怎样,这篇文章只触及物联网和iiot安全的表面,主要目的是指出这些物联网安全意识问题,并强调解决这些问题的必要性,也许是以一种更全面、更协作的方式,考虑到GDPR课程。徳赢中国所以,快速查看上面提到的一些发现趋势微观研究.

我们一直认为,对于大多数公司而言,物联网仍然是相对较新的,但37%的受访者表示,在实施物联网解决方案之前,他们并不总能定义自己的安全需求,这一点显然值得关注。

真正要采取的行动是从研究中抽身出来的:包括它,安全性,解决方案周围的生态系统等。从一开始。这也意味着物联网安全意识:问题是什么,下一步该怎么做。再一次,就像典型的GDPR合规计划一样。徳赢中国

优先顺序是另一个主题。正如Trend Micro所说:“为了防止物联网安全攻击,超过50%的受访IT和安全决策者报告说,他们在安全解决方案中优先考虑一些关键功能”。

这是一个很好的第一步,让IT领导者认识到需要提高整个组织的意识水平。我们建议企业领导者清楚地认识到影响其公司的物联网安全挑战,了解他们的安全要求,并相应地进行投资,使其安全目标成为现实 (Kevin Simzer,Trend Micro首席运营官)

参考前面提到的Gartner研究:该公司指出,到2020年,物联网安全增长的最大障碍将来自于在物联网倡议规划中缺乏安全最佳实践和工具的优先次序和实施。

所以,总而言之,换句话说,没有那么多惊喜,但是,仍然,是时候行动了。Trend Micro:“由于缺乏物联网安全意识,企业越来越容易受到具有潜在破坏性的网络攻击。根据调查,目前的攻击主要针对办公设备,其次是制造业和供应链。当攻击者破坏这些设备时,他们还可以访问更大的公司网络,进行更具破坏性的攻击”。

Trend Micro建议采用强有力的网络防御方法,以确保物联网设备不会在企业网络的任何部分增加安全风险。

关于意识的最后一点说明:趋势微报告并没有确切地“定义”什么是物联网安全意识,但您可以从这些发现中得出这一点。然而,如果我们同意我们从所描述的gdpr意识的意义上看到它(徳赢中国了解风险或“了解”风险,地图,分析,优先考虑,制定进攻计划,调整你的团队,培训并建立必要的意识,洞察力等)最后,剩下的就是完成它(在映射所有风险时,您已经收集了所有利益相关者),监控和继续,因为安全是永无止境的,人为因素仍然是关键挑战。思考的食物。

关于趋势微报告的更多信息。