账号:
密码:
最新动态
产业快讯
CTIMES / 文章 /
弥合资安认知与实作落差 实现普及化和减少标准碎片化
 

【作者: David Maidment】2021年06月08日 星期二

浏览人次:【3154】

全球各产业在数位转型之际,也面临逐渐攀升的网路资安威胁。 Arm就全球物联网产业628 位决策者进行第一份 PSA 认证安全报告,针对物联网的看法、做法、缺漏和可能性进行最新的全面研究,希望能真正了解所面临的问题,以及未来还面临哪些挑战。


物联网(IoT)的迅速崛起和普及为商品和服务的数位化转型提供了庞大的机会。随着全球连接数量的扩大,全球各产业无不积极拥抱数位转型,但其中也包括了逐渐攀升的网路资安威胁。现在骇客有无数的新市场与应用领域吸引他们的目光,这为制造商和供应商带来一系列新的风险,不仅会影响他们的声誉,还会影响其荷包。


解决资安问题是关键,但市场上的设备缺乏基础的资安以及最佳做法,来因应与日俱增的骇客攻击、标准的碎片化,以及设备的快速出货。当前资安的条件,与希望达到的理想状态,之间存在很大的差距,这既是我们要面对与解决的挑战,也是酝酿中的机会。


PSA 认证致力于在整个价值链中提供合作方式。如果大家按照共同的网路安全要求,就可以一起建构解决终端装置碎片化、和改善连网设备安全性的道路。只有产业同心协力,才能共同解决资安漏洞,并达到一个更强大且数据大量连接的未来。


2020 年 11 月,Arm就全球 628 位(包括台湾的业者)IoT 产业的决策者,进行了第一份 PSA 认证安全报告,针对物联网的看法、做法、缺漏和可能性进行最新的全面研究,希望能真正了解所面临的问题,以及未来还面临哪些挑战。


问题及挑战

在此调查中,我们发现业者在资安实作看法上的差距:61% 的受访者认为他们在资安实作上一切妥当;现实情况是他们跳过了威胁建模、缺乏资源、陷于标准碎片化的环境,而且没有使用第三方实验室来验证安全的强度。这些问题都未获得妥善解决前,设备仍在继续出货,而且网路攻击数量还在继续上升。


业界对资安实作的兴趣正在增加:大多数受访者认可资安的必要性-它能提供产品与竞争对手的差异化。人们也越来越认识到信任根(ROT)是资安的基础。 「」


然而,不到一半(47%)的受访者表示,他们在设计每种新产品时都会进行威胁分析;所以有逾半以上的受访者是跳过最佳资安实作流程-这显然是个大问题。小型公司进行威胁分析的比例更是低到 33% 。


48% 的受访者认为,不同的标准和法规是最大的挑战。另有 42% 的受访者表示,他们对如何在其业务中进行资安实作缺乏了解或专业知识。小公司尤其挣扎(只有 33% 的公司对公司的安全专业知识感到满意),这表明资安需要更普及,以便让所有公司—无论其规模如何—都能实作资安解决方案。



图一 : 在感知与安全实现的现实之间的差距显而易见
图一 : 在感知与安全实现的现实之间的差距显而易见

资安成本仍是一大障碍:「投资报酬率不确定」和「缺乏赞同」占受访者总数的 54%,他们表示不愿意继续投资在资安措施上。


84% 技术决策者对制定一套产业主导的指导方针和流程,以帮助构建 IoT 安全性表示兴趣。


总结来看,促进连网设备产业的发展,包含资安领域的协作,以及导入类似 PSA 认证方式,将降低成本,减少重复工作,解决之前的资源错置,为企业的先驱单位进行数位转型。



图二 : 如何定义「信任根」?
图二 : 如何定义「信任根」?

项目分析

IoT 面临的威胁

针对资安就绪性(Security Readiness),科技产业认为这个产业正处于转型边缘,但人们依旧担心骇客将继续瞄准新兴设备市场所带来的危险。在价值链中的每一步,都可以看到物联网在未来几年内将发生巨大变化(即使是那些传统上发展较慢的行业)。然而,我们也看到了大家对资安措施的推出及其功能展现不同程度的信心,以及产业环境与自身看法稍有不同的落差。


此外,小型公司的资安能力与大公司相比存在差距,资安知识与资安实作之间的脱节也日益严重。随着部署规模的扩大,压力将会增加。


资安从来不是一个被解决的问题-而是一个持续的过程。产业界正在进行数位转型,资安理应是这一变革过程中的基石:实施强有力的资安措施代表以技术为基础的产品或服务,能够自信地扩展出去,并且能够带来价值。但如果没有足够的安全性,业务将建立在不稳固的基础上。


网路安全风险投资公司官方年度网路犯罪报告预测,到 2021 年网路犯罪造成的损失已经高达 6 万亿美元。同样,赛门铁克在 2020 年第一季度检测到其蜜罐 IoT 设备受到近 1900 万次攻击,比上年同期增长了 13%。事实上,赛门铁克在其《2019 年互联网安全威胁报告》中估计,平均每月有 5400 次对物联网设备的攻击。


这个调查的最大发现之一—也许是最令人担忧的—是受访者对资安的看法和现实之间的区别。首先,60% 的被调查者认为他们的组织在 IoT 资安实作方面处于「领先地位」,而超过四分之三(77%)受访者对公司内部的安全专业知识水准「相当」或「非常」满意。若将这些数据与前面曾提到的不断成长的骇客攻击、以及持续出货的设备一起来看,这的确令人担忧。


尽管业者的「自我感觉」和现实之间存在差异,我们还是看到了一些正确的趋势。首先,十分之九的受访者表示,IoT 的增长对他们的业务至关重要,对 IoT 业务的企图心有助于资安部署。在这群受访中,运输和物流部门的决策者尤其乐观,大多数受访者(95%)相信资安标准将在未来五年内有所提升。其次,他们对「信任根」一词有更多的了解。若有人问起什么是信任根,有 84% 的人有把握能正确地定义它。


数位转型的大趋势助长了这样的意识:


* 连网的数位装置大规模增加,提供新的商业模式、效率和洞察。资安是数位转型能否成功最需要克服的关键挑战。生态系业者也都认可这个相当正面的迹象。


* 从我们的调查,大多数(67%)的受访者认为资安很重要,这样做是因为他们相信资安会为其产品与竞争对手提供差异化服务。


价值链的挑战

为了弥合差距,我们需要了解形成障碍的挑战。成本和碎片化-这两个障碍都会影响威胁映射,以及应该在产品生命周期的哪个阶段考量资安部署。


资安从来就不是个能够创造更高产品价格的特色,这使得企业要为加强资安实作的主张变得困难。我们要知道:当单位成本可被尽可能地降低时,这个产业就会蓬勃发展。


对企业来说,因资安缺失的真正成本很难确定并预先制定预算,这使得要确定资安投资报酬率几乎是不可能。


尽管大致上资安就绪性的趋势是存在的,但对物联网产业的威胁仍在增加,OEM 的安全能力并不总是符合他们自以为的状态,因此在部署继承资安基准线以保护免受最常见的骇客攻击的产品方面,似乎仍然存在障碍。


执行安全部署的两大障碍:成本与碎片化


图三 : 您认为在物联网安全方面最大的挑战是什麽?
图三 : 您认为在物联网安全方面最大的挑战是什麽?

先看成本问题:OEM 需要制造设备并将其出售以盈利,这意味着他们意识到要密切管理与设备相关的单位成本—无论是研发或用料。制造设备的每一刻都是有代价的,这包括资安。挑战是,资安在传统上并不被视为一项功能或特色,值得额外的投资。


这项调查结果证明,半数的受访者认为额外成本是资安实作的最大障碍,42% 的受访者表示前期的支出与研发成本,是资安实作上的大问题-它超过其他几个也被列出的选项,包括资安事件对商誉的影响,以及经济上的损失。


虽然大家都意识到资安的必要性,以及缺乏资安实作可能带来的灾难性的影响,但许多人仍在努力证明这项成本的合理性,或者在某些情况下能找到资金提供资源。这是我们需要克服的关键问题,需要以任何可能的方式普及资安实作,而非只保留给拥有雄厚资金的人才能部署。


来自台湾的受访者(占全球供应链的重要组成部分,约占物联网市场总量的 4.2%)提供了一个有趣的证明,显示对资安实作造成额外成本的考量的受访者比例最高(7%)。这里再次提到的原因就是强调成本对决策的影响,可见传统的 OEM 对每一分钱的想法,往往会降低资安的整体价值。


不过有五分之四的受访者确实觉得「已有相当准备」要持续花费在工具和资源的安全性上,然而,这种持续支出往往也只能算补足一些前期安全规划上的缺口。


访查结果强调另一个主要障碍是标准的碎片化,48% 的受访者认为这是最大的挑战,而 42% 的受访者则表示在他们在其所在的产业中,缺乏理解或专业知识。


随着资安威胁的增加和更多的骇客攻击的发生,政府和产业机构已设立了大量不同的指导方针,为「最佳实作安全」的真正含意提供了各种定义。不过这些指导方针与解决方案的增加,造成更碎片化的结果,一点不足为奇。此外,四成科技决策者中,有三成认为政府应该参与促成 IoT 安全的指导方针制定流程,表示欢迎政府参与,协助推动跨准则的一致性,减少碎片化。


对于该领域的制造商来说,评估不同的资安解决方案和方法需要大量时间,这会减缓产品开发和市场采用速度。为了弥合这一差距,通用语言和跨标准的统一方法将变得更加重要。


威胁建模的采用

如果你不知道你要防范什么,怎么知道你需要多少资安防护?为了设计安全性,开发人员和制造商应首先分析设备在预期应用中的使用方式,并记录每个设备受到攻击的方式。这是一个称为威胁建模的过程。


此过程将可协助你决定你的资安强度需要多强,以及你需要做什么措施来保护物联网产品。它会决定你的设备的安全级别,代表不会浪费经费,或让你的设备、企业组织或客户曝露在不必要的风险中。


就算我们不断提醒骇客攻击的数字,在我们的调查中只有 47% 的人(不到一半),表示他们在设计每种新产品时都进行了威胁模型。以资安实作做为产品设计的重要元素,这个数字不算高,也许这就说明了为什么骇客和漏洞如此常见。这是评估公司规模对骇客攻击影响的另一个领域,再次说明普及化的必要性,以便进行最佳资安分析和实作。


虽然威胁建模的概念听来简单,但实际上它是一个复杂的过程,需要资安专业知识来执行。我们现在知道,在许多连网设备的生产过程中,威胁建模一直都被跳过。因此,检视更多案例,以及接受更多这方面的培训,是推动制造商落实 IoT 安全扩展的动力。


好消息是,大多数受访者(86%)说,他们很可能会重新关注已经发布的产品的威胁分析。对我们来说,这也许说明他们将因此重新评估其现有产品的协定。另外一层意义是,随着 IoT 设备成为主流、成为更多尝试攻击的目标,早期的决策直到现在才会被重新评估。


弥合差距

该如何弥合这个差距?受访者对两件事的评价都很高:认证的作用和协作的重要性。认证为该产业提供了一种对其资安实作进行基准测试的方法,进而确保他们做正确的事—但相当高比例的受访者没有使用外部实验室。第二个要素是协作,这是业内人士希望追求的,说明原始设备制造商和软体供应商强烈希望一起解决成本和碎片化的问题。


建立在资安的共同基础上,并一起实作安全措施,既减少前期费用,又节省长期成本。这些法规和标准的调整将使资安格局更普及,使资安最佳实作成为标准,进而促成产业得以扩大规模。


当我们考虑测试资安实作及其强度时,不同的公司有不同的战略,可分为三类:内部评估、安全顾问或外部实验室的评估。实际上,第三方评估应是首选,它为产品的完整性提供了额外的客观衡量,并保证产品符合其衡量的资安标准或规范。


但回头查看报告中的数据时,五分之三的受访者(62%)说,他们的资安团队在内部认证他们的资安实作,这指向一个独立发展的,以及不同的、专有的解决方案市场。公司规模也是一个因素,在 50-249 家规模的公司中,利用外部实验室测试的比例下降到 44%,而 5000-9999 名员工的大型公司的比例为 73%。再次凸显了小型公司面临的资安资源的差异。


这是令人担忧的。我们需要确保被衡量的资安实作有多么强韧,否则,你永远无法真正知道你是否在做正确的事。这要追溯到报告最前面的部分,61% 的人认为他们在资安方面「一切妥当」—但如果没有第三方的评估,永远无法确定。


对于「协作、通用认证可以成为市场差异」的建议,93% 的受访者做出了积极反应,而 85% 的受访者表示对 IoT 安全进行产业协作和跨市场知识共享表达兴趣。此外,84% 的技术决策者表示有兴趣制定一套产业主导的指南和流程,以帮助构建 IoT 安全性。换句话说,科技决策者渴望采用标准化的方法,来弥合资安挑战和安全期望之间的差距。


我们该如何弥合差距,找到解决关键挑战的办法? PSA 认证创始人对我们讨论的两个关键领域充满热情:实现资安普及化和减少碎片化。重点是找到统一的安全方法,帮助各种规模的公司实作资安基准线。 PSA 认证方案,一直与更广泛的生态系统进行合作,期待实现这一点。


(本文作者David Maidment 为Arm安全设备生态系统架构和技术组总监暨PSA Certified创始人)


相关文章
等待春燕 工具机业逆风而行
低功耗MCU释放物联网潜力 加速智慧家庭成形
AI赋能智慧边缘 行动运算处理器的时代革命
ST开启再生能源革命 携手自然迎接能源挑战
针对应用对症下药 Arm架构在车用领域持续亮眼
comments powered by Disqus
相关讨论
  相关新闻
» Satellite 2024:仁宝携手耀登与富宇翔展示全新卫星通信解决方案
» 圆展与新光保全合作打造远距照护服务
» Arm发布车用技术及运算子系统路径图 将加速AI车辆上市时程
» 远传以智慧空品解决方案打造健康永续城市
» 工研院MWC 2024展会直击 5G-A无线通讯、全能助理成下一波AI风潮


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 远播信息股份有限公司版权所有 Powered by O3  v3.20.1.HK83JBSXQGQSTACUKX
地址:台北数位产业园区(digiBlock Taipei) 103台北市大同区承德路三段287-2号A栋204室
电话 (02)2585-5526 #0 转接至总机 /  E-Mail: webmaster@ctimes.com.tw