确保物联网的安全已成为关键业务

DigiCert最近在
上的一项调查发现,物联网安全方面的投资可以产生显著的积极的商业影响。

确保物联网的安全已成为关键业务
PlargueDoctor / Getty Images

物联网时代已经到来。

这里有一些证据:83%的组织表示物联网(IoT)对当今的商业非常重要,92%的组织表示将在两年内实现。

ReRez Research最近对五个国家的700家组织进行了一项DigiCert调查,以更好地了解物联网和物联网安全。

有趣的是,我总是发现,当市场不再是一件不寻常的事情时,它就已经成熟了。例如,几年前,在制造业、石油和天然气等传统机器对机器行业之外,很难找到物联网的部署。今天,连接的事物无处不在。举个例子:我最近在一家娱乐场所采访了一位IT主管,他向我介绍了所有的联网事物,但从来没有说过“物联网”。该组织正在连接更多的东西来改善客户体验,但它被视为没什么大不了的。

物联网带来了新的安全风险

几乎无处不在的物联网确实提高了安全标志,因为它为黑客入侵公司提供了一个重要的威胁向量。DigiCert开展调查的目的是了解物联网的采用状况,了解安全影响,并量化在物联网安全方面投资的好处。该调查聚焦于物联网最成熟的四个垂直行业——工业、消费品、医疗保健和交通——并抽样了各种规模的公司,员工人数中值为3000人。

该调查询问了企业试图通过物联网实现什么目标。回答最多的是运营效率、客户体验、增加收入和业务敏捷性。根据我的经验,处于物联网应用早期的企业希望通过自动化降低成本,从而提高效率,但他们很快就转向了客户体验,将其作为创造新的收入来源的一种方式。

调查还询问了关于物联网的首要问题,安全是最主要的回答。这并不奇怪,因为物联网设备创造了新的切入点。

DigiCert根据用户的物联网安全成功程度将其分为三层:

  • 顶级–问题最少且不太可能报告物联网安全问题的企业
  • 中间层–存在物联网安全问题的组织
  • 底层–物联网安全问题最多的公司

每一组占调查的三分之一左右,形成了很好的分布来分析它们之间的差异。

底层业务面临更多的安全挑战

然后,DigiCert比较了顶层和底层,以量化投资于物联网安全的好处。对于底层企业,调查发现它们是:

  • 38%的企业认为“在其组织内缺乏适当的物联网安全专门技能”是极具挑战性的
  • 27%的人认为隐私具有挑战性
  • 26%的人认为可扩展性具有挑战性
  • 17%的人认为安全问题具有挑战性
  • 17%的人认为物联网缺乏安全标准具有挑战性
  • 13%的人认为监管更具挑战性

顶级企业经历的安全事件更少

这项调查深入调查了实际的安全事件。一个有趣的数据点是,只有不到三分之一的顶级员工看到过任何事件。将这与100%的公司至少经历过一次事故的底层组织并列,应该清楚的是,安全投资可以带来巨大的回报。

关于底层企业,它们是:

  • 超过6倍的人可能经历过基于物联网的拒绝服务攻击
  • 未授权访问物联网设备的可能性是未授权访问物联网设备的可能性的6倍以上
  • 经历基于物联网的数据泄露的可能性几乎是6倍
  • 经历过基于物联网的恶意软件或勒索软件攻击的可能性高出五倍

目前,专注于物联网设备的威胁参与者数量相对较少。不过,我预计,随着物联网的增长,物联网特定攻击的数量也会增加。因此,一波浪潮即将到来,底层公司可能会看到攻击的增加。

物联网安全事件给底层企业带来了实实在在的损失

调查深入到一个水平,并查看了过去两年安全事件的实际成本。如果说物联网安全的重要性有什么令人大开眼界的地方,那就是研究发现,25%的底层企业在过去两年中因物联网安全相关损失至少损失了3400万美元。对于底层,最昂贵的损害来自以下方面:

  • 金钱损失(59%)
  • 生产力损失(59%)
  • 法律和合规处罚(43%)
  • 失去了声誉(40%)
  • 股价下跌(31%)

我不想让读者认为顶级组织没有安全问题,因为他们有,但没有与安全事件相关的重大成本。

加密和完整性是顶级企业常见的最佳实践

了解了顶级企业比中层和底层企业具有明显的优势后,就有必要了解它们的最佳实践。顶级公司最常见的安全措施是:

  • 敏感数据加密
  • 确保与设备之间传输的数据的完整性
  • 扩展您的安全措施
  • 保护无线更新
  • 基于安全软件的密钥存储

物联网安全的5个关键最佳实践

在未来五年内,将部署数百亿台物联网设备,IT领导者需要为此做好准备。为了帮助解决这一问题,DigiCert就如何在最大限度降低安全风险的同时推进物联网提出了一些建议:

  1. 审查风险:进行渗透测试,以评估连接设备的风险。评估风险并建立优先级列表,以解决主要安全问题,如身份验证和加密。强大的风险评估有助于确保互联安全环境中没有漏洞。
  2. 加密所有:连接设备时,所有数据应在静止和传输时加密。将端到端加密作为产品要求,以确保在所有物联网端点上实施此密钥安全功能。
  3. 始终验证:检查所有连接到物联网设备(包括设备和用户)的连接,以确保认证方案只允许可信连接到端点。数字证书通过绑定到加密协议的身份,帮助提供无缝身份验证。
  4. 灌输诚信:考虑设备和数据完整性的基础,包括每次设备启动时的安全引导,安全无线更新,并使用代码签名,以确保在设备上运行的任何代码的完整性。
  5. 为规模制定战略:开发可扩展的安全框架和体系结构,以支持所有物联网部署。据此制定计划,并与具有规模和专业知识的第三方合作,帮助您实现业务目标。
加入网络世界社区有个足球雷竞技app脸谱网LinkedIn对自己最关心的话题发表评论。
相关的:

Zeus Kerravala是ZK Research的创始人和首席分析师。

版权所有©2018 IDG ComRaybet2munications, Inc.

SD-WAN买家指南:向供应商(和您自己)提出的关键问题