网络安全成物联网发展一大瓶颈 高效解决方案有望推动110亿美元增长
2018-10-16 11:04:58爱云资讯阅读量:1,068
网络安全仍是阻碍物联网继续飞速发展的主要原因,对安全性的担忧降低了使用物联网设备的可能(见下图)。
事实上,贝恩咨询公司的研究发现,如果企业客户对网络安全风险的担忧问题得到解决,他们将愿意购买更多的物联网设备,且至少平均比他们担忧这些问题未解决时购买的设备多70%(参见下图)。此外,调查的93%高管表示他们会为安全性更高的设备平均多支付22%的费用。综合而言,贝恩估计提高这些设备安全性可以使物联网网络安全市场增长90亿美元至110亿美元。导致这种市场需求的原因之一可能是《欧盟通用数据保护法规》(GDPR)等新法规带来的压力越来越大,这些法规对安全性不足(包括数据泄露)的公司提出了严格的数据保护要求和惩罚。
本文展现了研究和调查工作的结果,包括与首席执行官、首席运营官、首席信息官、首席信息安全官以及其他有关网络安全和物联网技术的商业和技术领导者的讨论。显而易见,最先进网络安全的公司高管也最关心安全性问题。
物联网设备供应商是制造物联网设备的公司以及提供相关解决方案的公司,他们目标明确:提高安全性以获得竞争优势并扩大市场。
客户对网络安全的看法
所调查的大多数高管(60%)表示他们非常关注物联网设备给他们公司带来的风险。这并不奇怪,因为物联网安全漏洞可能对运营、收入和安全造成损害。当保护不当时,物联网设备可以允许访问企业系统,从而导致大量数据泄露。
带病毒设备也可能被利用,以对企业恶意攻击。2016年10月,Mirai恶意软件攻击破坏了数千个传感器、摄像头和其他设备,产生了一个庞大的僵尸网络,并发起了分布式拒绝服务攻击,破坏了热门网站(包括GitHub、Netflix、Twitter和Airbnb)。2018年1月,Okiru(Mirai变体)可侵入数十亿物联网产品中广泛使用的ARC处理器,由此而被病毒入侵的物联网设备也可以进行点击欺诈,导致广告客户每年损失数十亿美元。遭病毒入侵设备也可用于挖掘加密货币,如比特币和门罗币。
注:45%企业用户担忧网络安全性,而随后担忧问题分别为IT/OT一体化(34%)、不明朗投资回报率(30%)以及专业技术缺失(28%)。
注:解决网络安全问题市场收益大,客户将会为安全设备多花费22%资金且多购买70%设备。到2020年,网络安全市场或会最多增长110亿美元。
在确定防范这些类型攻击的解决方案时,物联网设备供应商可以根据网络安全能力成熟度对其目标客户进行细分。这种细分有助于根据典型需求确定不同的方法,并反映出企业客户的能力不是静态的而是向更高级别发展的现状(见下图3)。研究发现,处于最不发达端的客户更有可能寻求简化和集成的安全解决方案,而那些具有更高级功能的客户更愿意投资于最佳或定制的单点解决方案。
在各个细分市场中,几乎所有高管都表示,物联网设备对其组织构成了中等或重大的风险。
而相比那些网络安全能力较弱的企业,在网络安全成熟度更高的公司中,主管人员看到的安全风险会更多(见图4)。
图三
图四
研究还表明,某些行业的高管认为所在行业的物联网风险高于其他行业(见图5)。耐用品、建筑工程、能源和公用事业、金融服务和技术行业的高管最有可能表达非常担忧的想法。这些担忧反映了行业现实,而不仅仅是个别高管的看法。例如,在能源行业方面,石油和天然气生产商在其油井和钻井平台上依赖数以万计的物联网传感器和复杂的生产控制装置。能源公司使用来自这些物联网设备的数据,这些设备平均每天可超过一太字节(TB)的速度在运行,以实时地调整其运营同时保持严格的安全阈值。完整性打折扣或破坏数据流动都可能导致灾难性的破坏。
图五
近一半的医疗保健高管认为所在行业物联网存在重大安全风险。医院和诊所越来越依赖来自各种供应商的连接诊断监测和护理服务设备,这些供应商从第三方获取组件。核磁共振、机器人辅助手术设备和药物输送泵都极大有可能受到未经授权的访问。这将对患者安全构成明显威胁。2017年9月,美国工业控制系统网络应急响应小组发现了无线注射器输液泵的漏洞,并警告说,如果不加以注意,可能对患者构成重大威胁。
制造商对物联网的使用也为工业环境带来新风险。大型制造商可能会部署数千种物联网设备,从传感器到复杂的半自动机器人。受病毒入侵的传感器可能导致数据不准确,从而阻碍管理层制定关键运营决策或制造严重影响整个价值链的库存问题。在工厂上可能会发现更大的风险,因为受损的机器人设备可能会引入微妙但危险的活动,或对工人和其他设备造成更大的破坏和伤害。
客户应对物联网网络安全的方案
与管理安全性的高管进行的对话表明,客户需要高效、易于集成和灵活部署的解决方案。公司根据其能力和供应商所提供市场解决方案的可用性,采取一系列方法来满足其安全需求(参见图6)。目前使用的物联网网络安全解决方案中,只有约三分之一来自物联网设备供应商,这表明供应商要么不提供满足消费者需求的全面且高质量的解决方案,要么他们不能很好地推广方案。贝恩的研究发现,拥有最先进网络安全功能的公司更多地依赖于内部开发的安全解决方案,这不仅是因为他们可能有更复杂的需求,而且更有可能因为他们拥有开发自己解决方案的人才和能力。具有自组安全功能的公司在所研究的所有物联网使用对象中,其对安全解决方案的需求最大。
供应商未能满足客户对网络安全的需求
贝恩还研究了公司如何通过层层部署安全解决方案,并为物联网设备供应商在每层找到了充足的机会。
贝恩调查发现,访问接口层具有最高级别的保护,无论是内部开发还是由制造商或第三方提供(参见图7)。其他层由更多内部解决方案保护,或者在某些情况下根本没有保护。客户对内部解决方案的偏好可以通过考虑每个安全层的特定条件得到部分解释。
例如,数据安全解决方案通常需要比基本物联网设备上当前可用的计算和功率资源更多的计算和功率资源。麻省理工学院的研究人员创造了一种新的芯片,可以使用1/400的功率和1/10的内存,以当前芯片速度的500倍速度对物联网设备进行加密。但是,在这项新技术被广泛采用之前,制造商需要在设计方案时,继续平衡这一要求与物联网设备的尺寸、成本和功率。
硬件安全解决方案必须解决物理接口(如USB或以太网端口)、设备操作系统和固件的漏洞。但很少有制造商在发货之前充分测试硬件是否存在已知漏洞,大部分设备不足在进行持续测试期间因新漏洞而暴露不足。
最后,IT安全操作必须管理和监控其物联网设备,并结合来自其他五个层的日志数据进行。虽然大多数企业都希望拥有一套紧密结合的工具,并且能够全面了解其设备的安全状况,但很少有物联网设备制造商能够很好地了解客户的运营情况,从而提供这种解决方案。尽管如此,他们仍然可以与客户合作,确定可信赖的第三方,作为开发全面安全解决方案的合作伙伴。
总的来说,这些类型的制造商缺点可能使客户在考虑通过各个安全层以保护其物联网设备时自行研发方案。由于缺乏精心设计的物联网网络安全产品和服务,客户正在设计自己的解决方案,完全放弃使用解决方案或直到供应商满足自身要求才能实施相应方案。
物联网设备供应商获取市场份额的方法
物联网设备供应商和生态系统参与者迅速采取行动以提高物联网设备的安全性,这不仅可以从他们获得溢价的能力中获得回报,还可以帮助他们扩展市场。物联网生态系统中的一些领导者正在加紧应对安全挑战,并抓住其中的机会。亚马逊创建了一个与其云产品集成的物联网解决方案生态系统。它最近获得了一个名为FreeRTOS的开源操作系统的许可,该系统可以更轻松地开发、部署、管理和保护低功耗物联网设备,并可通过有助于物联网设备管理以及数据和网络安全的库和工具对其进行增强。同样,微软的Azure IoT Hub以设备配置、身份验证和安全连接的形式提供设备管理和安全功能。另一个例子是GE(一家工业物联网设备制造商),其将网络安全视为竞争优势,并在战略上努力将功能嵌入其物联网技术的各个层面。GE于2014年收购了Wurldtech,并最终将Achilles安全产品与Predix IoT管理平台集成在一起。从运营的角度来看,GE将风险管理和产品安全责任分配给整个组织的专职领导者,他们确保将网络安全优先考虑并实施到其产品中,包括物联网设备。
这些努力代表着重要的进步,但它们本身并不足以解决使用物联网所面临的更广泛的安全问题。所有物联网设备供应商都需要在设备的设计、开发和部署中更加注重安全性。下面四个步骤可以帮助高管完成这个任务。
首先,制造商需要了解客户如何使用他们的设备。通过每12-18个月刷新一次认识客户使用案例来保持最新情况,这将使制造商能够掌握不断变化的安全要求并帮助确定未满足的需求。确定其客户的平均网络安全成熟度水平将有助于制造商投资适当的即用和附加解决方案。例如,自行开发方案客户倾向于寻求经济效益而不是最新最佳的解决方案。
其次,制造商应在设备上提供网络安全功能,并在可能的情况下与可信赖的网络安全供应商合作,以提供其他解决方案。工程团队应将安全开发实践嵌入到设备的软件和硬件组件中,并为访问接口、应用程序、数据和设备层提供固有的解决方案。无论网络安全成熟度如何,大多数客户都将使用这些可即用的功能。采取这些措施可以减少物联网设备中的常见漏洞,例如默认或嵌入式密码、缺乏数据安全性的网络凭证和网络通信,以及确保系统完整性的薄弱安全措施。制造商还可以与网络安全供应商合作,在数据、网络和运营层提供售后解决方案,有选择地将这些解决方案集成到某些客户群中。例如,具有一致安全性的客户倾向于选择集成解决方案,而实践企业则寻求最佳解决方案而不是集成解决方案。
第三,制造商还需要满足质量保证,并能够证明他们的物联网设备没有已知的漏洞。对于有时安装新设备但未发现其中包含漏洞的客户而言,这将减轻主要的危险点。部署更有条理的流程来识别和删除跨安全层的漏洞或参与第三方漏洞扫描和渗透测试企业可以帮助制造商,这些做法都可满足这一需求。定义具有明确义务的网络安全保修期可告知客户,供应商负责的内容以及持续时间。综合而言,这些措施是网络安全最佳办法,可用于安全要求高的设备。
最后,制造商可以在保修期内通过不断测试新的漏洞、提供软件和固件更新以及提供可即用和售后解决方案的特性和功能升级。在整个保修期内,为了应对新发现的安全漏洞而提供对固件、操作系统和应用程序的更新应始终是首要任务。
这四个步骤是一个开始,但绝不是解决阻碍物联网发展的安全问题的全部内容。虽然物联网市场的增长似乎注定势不可挡,但许多企业客户将继续谨慎行事,直到他们能够合理地确保其数据的安全性,并确保在越来越依赖于设备、传感器和物联网的情况下,公司整体运营的安全性。
相关文章
- 再登榜首!阿里云蝉联中国公有云网络安全即服务市场份额第一
- 打造全路径教育网络安全能力,天翼云AOne筑牢教育行业安全新基石
- 福昕鲲鹏闪耀2024大湾区网络安全大会,引领版式文档技术创新潮流
- 筑牢湾区网络安全防线!Coremail亮相大湾区网络安全大会
- 四维图新通过ISO/SAE 21434汽车网络安全管理体系认证,开启智能出行新篇章
- Akamai:以云计算和网络安全为核心,推动中国企业全球化创新
- 深信服受邀参加第39届全国计算机安全学术交流会:大模型技术引领构建网络安全智能体
- IDC发布《IDC TechScape:中国网络安全软件技术发展路线图,2024》报告 华云安领衔攻击面管理
- 靶场首推厂商!赛宁网安实力入选IDC《中国网络安全软件技术发展路线图》
- 绿盟科技出席第39次全国计算机安全学术交流会,共话AI助力构建网络安全新格局
- 创新引领未来,网络安全创造价值 中兴通讯南京滨江5G工厂安全保障项目接连斩获大奖
- 网御星云亮相“工博会”,以 AI新技术助力工业网络安全“提智向新”
- 腾讯安全攻击面管理、嵌入式安全审计平台两大产品荣膺网络安全优秀创新成果优胜奖
- 派拓网络:通过AI驱动的网络安全加速5G发展
- 夯实网络安全基石,助力智能化产业发展
- 共筑安全底座,服务社会民生——北京互联网大会网络安全与数据保护论坛成功举办