近日,佛山市东联科技有限公司总裁兼CEO、知名白帽黑客、东方联盟创始人郭盛华公开表示:“大多数企业都没有构建自己的物联网(IoT)系统。很少有组织能够在自己的环境中开发和部署自己的IoT设备,硬件往往是专门的,大多数软件看起来不像其公司Java开发人员所使用的东西来编写代码,对于像这样的高风险项目而言,仅仅足够的价值是没有道理的。因此,企业倾向于购买消费者物联网设备,并将其穿入企业安全体系结构中,要使它们适当地适应可能是一个挑战。这并不意味着企业在面对物联网安全风险时会束手无策,但这确实使企业物联网安全成为供应链问题。”
无法解决这些问题的风险和后果
IoT设备和系统代表了其他企业攻击面,与允许用户为移动设备“自带设备”相同。这些设备使组织面临与企业网络上部署的其他设备相同类型的风险。物联网设备的安全漏洞可能导致设备接管和敏感数据暴露,它们为攻击者提供了可用于发起其他攻击的企业网络立足点。
此外,这些物联网系统趋向于传输大量敏感数据,包括机密和专有信息以及涉及隐私的信息。这些数据将离开公司防火墙,并由IoT系统提供商托管的服务进行处理,并给企业带来负担,以了解这些IoT系统如何影响其风险状况。
评估和管理物联网第三方风险的最佳实践
第三方风险必须作为整体供应商风险管理计划的一部分,以结构化的方式进行处理。即将部署在企业网络上并处理敏感企业信息的新物联网系统需要通过审核流程来运行,因此组织可以了解风险暴露的变化。此过程可以共享标准供应商风险管理程序的许多相同特征,但可能需要扩展以解决物联网系统引起的一些具体问题。因为这些系统将专用硬件与潜在的非标准操作系统结合在一起,所以特别关注有关升级实践和支持生命周期的问题。
什么是物联网,这些设备的安全特性和其配套服务?
物联网风险第三方风险管理计划应涵盖的目标物联网风险第三方风险管理计划应涵盖对物联网系统将访问的数据的机密性,完整性和可用性的标准关注。如果物联网系统将要访问数据,从而使其符合任何合规或监管法律,则可能会增加评估要求。
东方联盟郭盛华还透露:“许多物联网系统在部署之后可能很难升级,即使不是不可能,因此,第三方风险管理程序需要跟踪发现并希望解决缺陷的随时间更新物联网系统的能力。”
现有框架和标准
IoT安全有一些新兴标准,但没有一个标准对整个行业产生了重大影响。该物联网项目的OWASP互联网有看明白物联网设备,为消费者,企业和工业用户的安全问题和相关的服务机构联系到了许多宝贵的资源。其中包括十大风险列表,安全测试方法,测试实践存在缺陷的系统示例以及其他材料。
最后的结论
由于大多数企业不构建自己的物联网系统,因此企业物联网带来的风险很大程度上是供应链问题。希望利用物联网系统在企业环境中的潜在优势的组织将得到很好的服务,可以在收购过程中开始评估此第三方风险,以便最好地预测和解决与他们所寻找的物联网系统相关的安全风险采纳。(欢迎转载分享)