供稿人:王立娜
近年来一系列频发物联网安全事件使得物联网安全问题上升至全球性问题,并催生了美国《物联网网络安全改进法案》的提议。
全球知名咨询公司Gartner指出,到2020年全球物联网设备将达到204亿,远超全球人口数量,针对企业经确认的安全性攻击中有25%以上将涉及物联网。据MarketsandMarkets预测,这将促使2015-2020年全球物联网安全市场规模的复合年增长率高达33.2%。2019年6月25日,美国国家标准与技术研究院(NIST)发布《物联网网络安全和隐私风险管理指南》报告,旨在帮助联邦政府部门和其他组织在物联网设备的全生命周期内,更好地了解和管理相关的网络安全和隐私风险。
本文对该指南提出的物联网设备独特风险影响因素、潜在的风险挑战、风险应对建议进行了梳理,希望能为我国物联网设备供应商、服务提供商及政府相关部门提供一些启发。
独特的风险影响因素
1、特有的与物理世界交互方式
许多物联网设备以传统设备通常不具备的方式与物理世界进行交互,对物理系统进行更改造成的潜在影响需要从网络安全和隐私角度予以明确认识和解决。此外,对性能、可靠性、弹性和安全性的操作要求也可能与传统IT设备的网络安全和隐私实践不一致。
2、新型的访问、管理或监控方式
许多物联网设备无法以与传统设备相同的方式进行访问、管理或监控。这可能需要手动为大量的物联网设备执行任务、扩展员工知识和工具,以涵盖更多种类的物联网设备软件,同时解决制造商和其他第三方对物联网设备进行远程访问或控制的风险。
3、特殊的安全标准
物联网设备网络安全和隐私功能的可用性、效率和有效性通常与传统IT设备不同。这意味着机构可能必须选择、实施和管理额外的控制措施,在没有足够的风险管理控制措施时确定如何应对风险。
风险管理的潜在挑战
从保护设备安全、保护数据安全、保护个人隐私三大风险管理目标角度,该指南提出了一系列的物联网设备风险管理领域和潜在挑战,如表1所示。
表1 物联网设备网络安全和隐私风险管理的潜在挑战
风险管理目标 | 风险管理领域 | 潜在挑战 | 风险影响因素编号 |
保护设备安全 | 资产管理 | 可能没有资产管理系统可以访问或识别的唯一标识符 | 2 |
可能无法参与到集成化的资产管理系统中 | 2 | ||
可能无法直接与机构网络相连接 | 2 | ||
可能是一个提供很少或不提供硬件和软件等信息的黑盒子 | 2 | ||
并非所有物联网设备的外部依赖性都会被泄露 | 2 | ||
漏洞管理 | 制造商可能不会发布物联网设备的补丁或升级 | 3 | |
制造商可能会在物联网设备仍在使用时停止发布补丁和升级 | 3 | ||
可能无法修补或升级其软件 | 2和3 | ||
在没有进行大量测试和准备的情况下,安装补丁、升级、进行配置更改可能风险太大,实施更改可能需要操作中断或无意中导致中断 | 1 | ||
可能无法参与到集中式漏洞管理系统中 | 2 | ||
可能无法更改软件配置,提供机构所需的功能 | 2 | ||
可能没有可以针对物联网设备的漏洞扫描程序 | 3 | ||
可能不提供任何内置功能来识别和报告已知漏洞 | 3 | ||
访问管理 | 可能不支持标识符的使用 | 2和3 | |
可能仅支持一个或多个共享标识符的使用 | 2和3 | ||
可能仅在远程访问和管理等特定情况下需要使用标识符 | 2和3 | ||
可能不支持密码字符的隐藏显示 | 2和3 | ||
可能不支持非常规凭证的使用,如不允许更改默认密码等 | 2和3 | ||
可能不支持强凭证的使用,如加密令牌或多因素身份验证 | 3 | ||
可能不支持使用现有的企业用户认证系统 | 3 | ||
可能不支持特定情况下的逻辑访问权限 | 3 | ||
可能不支持使用逻辑访问权限来限制设备的网络通信 | 3 | ||
可能无法修改物联网设备所对使用的部分安全功能 | 1和3 | ||
未被授权访问的人设备可以访问,或授权人员可以以未经授权的方式访问设备 | 1和2 | ||
事件检测 | 可能根本无法或足够详细地记录其操作和安全事件 | 3 | |
可以在无法记录操作的情况下继续运行 | 3 | ||
可能无法参与到企业日志管理系统中 | 2 | ||
可能无法执行内部检测控制或与外部检测控制交互 | 1和3 | ||
可能无法控制有效地检测事故所需的可见性 | 2和3 | ||
可能无法为分析人员提供对设备资源的充分访问权限 | 2和3 | ||
保护数据安全 | 数据保护 | 可能无法为存储的数据提供足够强大的加密功能 | 3 |
可能在处理或重新利用设备之前不提供清理敏感数据的机制 | 3 | ||
可能无法提供安全的数据备份和恢复机制 | 3 | ||
可能无法提供足够强大的加密功能来保护网络通信中的敏感数据 | 3 | ||
可能在发送敏感数据之前不验证接收计算设备的身份 | 3 | ||
保护个人隐私 | 解除关联的数据管理 | 可以提供用于识别和身份验证的数据,但不在传统的联合环境中 | 3 |
知情决策 | 可能缺少个人能够与之交互的接口 | 2 | |
分散的数据处理功能和异构所有权挑战了传统的问责流程 | 3 | ||
可能缺少个人能够阅读隐私通知的界面 | 2 | ||
可能缺少能够访问个人身份信息(PII)的接口,或PII可能存储在未知位置 | 2 | ||
PII处理权限管理 | 可以自动无差别地收集、分析、共享PII | 2 | |
可能动态地收集经常添加和移除的PII | 1 | ||
可以远程访问物联网设备,在管理员控制外共享PII | 2 | ||
信息流管理 | 可能不支持用于集中式数据管理的标准化机制,所需管理的物联网设备的数量可能非常庞大 | 2 | |
可能无法支持远程激活防护、有限数据报告、通知收集和数据最小化等配置 | 3 | ||
可以不加选择地收集PII,设备的异构所有权挑战了传统的数据管理技术 | 2 | ||
分散式数据处理功能和物联网设备的异构所有权在数据检查准确性方面挑战了传统的数据管理流程 | 2 | ||
分散的数据处理功能和物联网设备的异质所有权挑战了传统的识别过程 | 2和3 |
风险应对建议
1、调整管理政策和流程
机构应明确界定物联网的范围,充分考虑贯穿物联网设备全生命周期的风险影响因素,调整物联网网络安全和隐私风险管理政策和流程,确保所制定的网络安全、供应链和隐私风险管理计划适当地将物联网纳入其中。主要行动包括制定明确的机制判定IT设备是否为物联网设备,识别物联网设备类型及所支持的功能和用途,根据物联网设备所处的特定物联网环境评估设备风险,确定如何如何通过接受、避免、减轻、分散或转移等方式来应对风险。
一些物联网设备的网路安全和隐私风险管理可能会对其他类型的风险造成影响,也可能在安全性、可靠性、弹性、性能等方面引入新的风险。因此,机构在制定物联网设备网络安全和隐私风险管理政策和流程时,应慎重考虑这些风险之间的权衡,适当地调整所实施的网络安全框架,以便充分解决物联网设备全生命周期中的网络安全和隐私风险。
2、实施更新的风险管理措施
物联网设备数量庞大且类型繁多,通常不同类型物联网设备的功能差异很大,同一类型设备的使用方式也不尽相同,致使设备所面临的网络安全和隐私风险也相差甚远或各有侧重,管理机构应针对具体的物联网设备类型和使用方式实施因地制宜的风险管理机制,制定管理数百或数千种类型物联网设备风险的有效措施。
声明:本文来自新一代信息科技战略研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。