物联网设备安全:高管和经理之间的惊人脱节

2020年10月2日,

2020年6月的一项调查强调，面对日益增多的威胁，需要有凝聚力的安全政策。

阿伦贝克

联网物联网(IoT)设备的不断扩散——到2025年 将超过420亿件，¹据估计，每一个新的入侵点都会受到相应增长的网络攻击。

这个不可避免的趋势就是为什么安全是每一个设计或部署嵌入式、边缘和物联网设备的公司和组织的头等大事。但是如何、在哪里以及由谁实现和维护安全性完全是另一回事。

风河系统公司最近与电子设计调查代表多个行业的嵌入式系统专业人员，如航空航天、国防和医疗保健。调查结果，在最近讨论网络研讨会 (“巨大的安全脱节:真正的执行与执行感知”)，揭示了高管、经理和个人贡献者在多个领域之间的差异。

例如，大多数工程经理(64%)认为设备故障或接管是他们组织面临的最大安全威胁之一。然而，只有23%的高管说了同样的话。相比之下，对高管来说，证书被盗是最大的安全威胁(40%)，而只有一小部分经理(15%)有同样的感觉。

保护设备安全的主要障碍是高管们对安全的看法与公司其他人不同的另一个领域。更多的高管认为，主要的障碍是“确定多少安全是足够的”，而非高管则表示，“有限的内部专业知识”是主要的障碍。这些反应可以反映出，公司领导人认为，为支持网络安全需求，员工配备已经到位，而经理和贡献者则认为，在网络安全方面训练有素和经验丰富的工程师短缺。

用安全策略来弥补差距

为嵌入式/边缘/物联网设备制定可靠的安全策略可以帮助解决这个问题。国家标准与技术研究所(NIST)在其“工业控制系统安全指南”中指出，“安全政策定义了[整个组织]安全计划的目标和约束。”策略定义了需要作为团队减轻的威胁以及原因。

然而，在具有不同利益相关者的组织中创建安全策略并不容易。此类政策必须考虑到监管机构、客户和行业标准制定者(如NIST、美国食品和药物管理局(FDA)和国际电工委员会(IEC))复杂且不断增加的要求。嵌入式系统的安全策略可能包括以下组件:

如何以及何时监控漏洞公告，特别是当更多的功能被推送到边缘设备时，而且这些功能的大部分包括第三方应用程序。
软件材料清单中应包括的项目，包括许可证符合性、安全管理、出口符合性和安全证明。
如何以及何时进行安全性测试。安全风险测试是通过模拟工具还是黑客马拉松进行?还是由第三方进行?人工智能(AI)会被用来保护嵌入式设备吗?如果会，它会被用在已部署的设备上还是在开发过程中?
组织如何处理正在进行的设备安全维护和更新。更新可以在设备上手动执行，也可以通过无线或第三方执行。

向网络安全的统一方法迈进

这些都不是杞人之虑，尤其是考虑到到2021年，网络犯罪每年造成的损失预计将达到6万亿美元。²许多物联网和嵌入式行业，如医疗、工业、基础设施和军事，都使用能够执行关键任务功能的设备。这意味着它们不能失败或以意想不到的方式执行。对于关键任务设备来说，网络安全漏洞所造成的损失远远超过数据丢失、知识产权(IP)被盗和公司品牌受损，还可能导致灾难性事件甚至人员伤亡。

拥有一个严格的安全政策可以帮助确保一个组织在网络安全优先事项上团结一致地行动和思考。有合适的团队来评估和实现正确的安全性解决方案是很有帮助的。

组织可以采取的第一步是由经验丰富的网络安全解决方案提供商(如风河公司)进行在线安全评估。这个练习可以帮助组织发现内部可能存在的脱节，以及从哪里开始建立共识。无论该组织目前是在构建嵌入式设备还是将It应用推向边缘，这都是一小步但意义重大的一步。