聚焦IoT關(guān)鍵風(fēng)險(xiǎn)，騰訊安全攜手20名CSO探尋安全共建思路

智能掃地機(jī)器人、聯(lián)網(wǎng)的咖啡機(jī)、可以遠(yuǎn)程控制的汽車。。。隨著越來越多的物聯(lián)網(wǎng)(IoT)設(shè)備走進(jìn)消費(fèi)者身邊，萬物互聯(lián)漸成現(xiàn)實(shí)。在給消費(fèi)者帶來便利的同時(shí)， IoT設(shè)備等安全和隱私問題也引發(fā)了廣泛關(guān)切。不止是在消費(fèi)場景，工業(yè)、農(nóng)業(yè)、能源、零售等等眾多關(guān)系到國計(jì)民生的領(lǐng)域，物聯(lián)網(wǎng)也作為重要的數(shù)字化工具，正在加速落地。同樣需要關(guān)注的是，IoT設(shè)備一旦聯(lián)網(wǎng)，安全風(fēng)險(xiǎn)也將隨之而來，企業(yè)的生產(chǎn)運(yùn)營、品牌聲譽(yù)都將面臨更嚴(yán)峻的挑戰(zhàn)。

3月27日，騰訊安全CSO俱樂部邀請中國信通院、南方電網(wǎng)、華為、廣汽、比亞迪、榮耀、OPPO、VIVO等領(lǐng)軍企業(yè)的二十多位首席安全官(CSO)、研發(fā)主管齊聚深圳，共同探討IoT時(shí)代的安全體系建設(shè)，尋找企業(yè)可以借鑒的IoT安全能力圖譜。

(中國信息通信研究院安全研究所主任 柯皓仁)

中國信息通信研究院安全研究所柯皓仁主任從“管”、“服”協(xié)同的角度，分享了他對數(shù)字時(shí)代下的IoT安全破局的思考。柯皓仁認(rèn)為，在我國的消費(fèi)互聯(lián)網(wǎng)發(fā)展歷程中，網(wǎng)絡(luò)安全頂層設(shè)計(jì)落后于應(yīng)用發(fā)展。但在產(chǎn)業(yè)互聯(lián)網(wǎng)的落地發(fā)展進(jìn)程中，應(yīng)同步、甚至提前進(jìn)行網(wǎng)絡(luò)安全規(guī)劃設(shè)計(jì)，保障產(chǎn)業(yè)互聯(lián)網(wǎng)安全發(fā)展。

具體到物聯(lián)網(wǎng)安全的建設(shè)，柯皓仁提出六點(diǎn)建議：一是明確基線。對于物聯(lián)網(wǎng)的應(yīng)用來講，不同安全應(yīng)用的場景去提出不同安全級別的安全防護(hù)基本要求。二是摸清底數(shù)。主管部門要摸清重要企業(yè)清單和重要數(shù)據(jù)保護(hù)目錄，應(yīng)用企業(yè)要摸清自身物聯(lián)網(wǎng)應(yīng)用的相關(guān)保護(hù)對象與資產(chǎn)情況。三是重點(diǎn)突破。針對重點(diǎn)行業(yè)、重點(diǎn)企業(yè)開展相關(guān)安全能力評估與能力提升。四是示范推廣。在C端和B端按不同的要求推進(jìn)，C端側(cè)重隱私保護(hù)計(jì)劃與能力示范，B端側(cè)重企業(yè)貫標(biāo)要求示范。五是基礎(chǔ)能力。物聯(lián)網(wǎng)本身平臺終端比較多，所以應(yīng)形成多種類平臺、終端的基礎(chǔ)資源庫，包括對應(yīng)的安全漏洞庫建立。六是機(jī)制建立。應(yīng)鼓勵(lì)企業(yè)去建立包括監(jiān)測預(yù)警、信息共享、協(xié)同處置等在內(nèi)的整個(gè)安全閉環(huán)的工作機(jī)制，去形成管理閉環(huán)。

(行業(yè)資深CSO 周智堅(jiān))

行業(yè)資深CSO周智堅(jiān)從信息安全產(chǎn)業(yè)的發(fā)展歷程，分析了安全的過去，現(xiàn)在和未來的IOT供應(yīng)鏈安全。根據(jù)歐洲相關(guān)IoT安全準(zhǔn)則的風(fēng)險(xiǎn)描述，周智堅(jiān)將IoT供應(yīng)鏈安全風(fēng)險(xiǎn)概括為物理攻擊、知識產(chǎn)權(quán)損失、惡意活動(dòng)和濫用、法律要求、非惡意損失及信息丟失5大領(lǐng)域，和相應(yīng)的9個(gè)風(fēng)險(xiǎn)點(diǎn)。他認(rèn)為，IOT供應(yīng)鏈安全可以從參與者、流程、技術(shù)3個(gè)安全關(guān)注點(diǎn)，29條安全改善措施出發(fā)，站在IoT業(yè)務(wù)邏輯圖的角度，把IoT業(yè)務(wù)分成IoT設(shè)備、IoT網(wǎng)關(guān)、IoT平臺、IoT應(yīng)用、業(yè)務(wù)運(yùn)營五個(gè)模塊，而IoT供應(yīng)鏈安全的可能解決方案可以概括為：IoT設(shè)備安全+一句話安全+安全ERP+N個(gè)安全產(chǎn)品。

對于不同主體的安全能力建設(shè)，周智堅(jiān)建議，對于甲方安全的負(fù)責(zé)人，做好了現(xiàn)階段的安全1+1+N，就可以從容應(yīng)對IoT供應(yīng)鏈安全。對于其他安全技術(shù)人員，攻擊滲透促進(jìn)安全建設(shè)的邏輯未來一樣有效，應(yīng)多了解和發(fā)現(xiàn)IoT供應(yīng)鏈上的安全漏洞和風(fēng)險(xiǎn)。安全廠商可以從IoT設(shè)備安全質(zhì)量評級、IoT設(shè)備安全質(zhì)量自動(dòng)檢測工具、業(yè)務(wù)過程中的安全ERP及數(shù)據(jù)分析平臺等方向發(fā)力。

(騰訊安全技術(shù)專家 張康)

騰訊安全技術(shù)專家張康在會上分享了騰訊安全科恩實(shí)驗(yàn)室的物聯(lián)網(wǎng)攻防實(shí)踐。他認(rèn)為，碎片化嚴(yán)重、缺乏威脅檢測方法、更新緩慢以及隱私保護(hù)，是物聯(lián)網(wǎng)面臨的主要風(fēng)險(xiǎn)挑戰(zhàn)。

從技術(shù)角度來說，任何一個(gè)場景，不管IoT還是物聯(lián)網(wǎng)，最小權(quán)限、系統(tǒng)默認(rèn)、保持更新、縱深防御，這些信息安全的原則永遠(yuǎn)不會過時(shí)。

張康認(rèn)為，如果把安全基本原則做好了，系統(tǒng)就已經(jīng)處在相對比較高的安全等級。同時(shí)，結(jié)合一些漏洞掃描、檢測的自動(dòng)化工具應(yīng)用到安全開發(fā)流程中，可以進(jìn)一步提升安全能力。他介紹了騰訊安全研發(fā)的嵌入式系統(tǒng)安全審計(jì)平臺sysAuditor。作為一款自動(dòng)化檢測工具，sysAuditor沉淀了科恩實(shí)驗(yàn)室的滲透測試經(jīng)驗(yàn)，可以幫助企業(yè)實(shí)現(xiàn)國家、行業(yè)、企業(yè)自身多個(gè)層面的安全基線合規(guī)，檢測結(jié)果以API的形式輸出，可以與現(xiàn)有平臺集成。

在分組討論環(huán)節(jié)，與會嘉賓就產(chǎn)業(yè)實(shí)踐中關(guān)注的IoT風(fēng)險(xiǎn)點(diǎn)、與業(yè)務(wù)場景的關(guān)聯(lián)、安全需求與資源的矛盾以及物聯(lián)網(wǎng)安全的未來趨勢等議題展開深入討論，探討IoT安全治理與安全運(yùn)營所需的能力圖譜。

(參會嘉賓就IoT安全能力建設(shè)展開深入討論)

萬物互聯(lián)，安全先行。在物聯(lián)網(wǎng)即將加速滲透的關(guān)鍵階段，安全無疑是需要提前打好的“地基”。通過騰訊安全CSO俱樂部沙龍搭建的交流平臺，物聯(lián)網(wǎng)廠商與安全廠商得以深入交流彼此關(guān)切，分享實(shí)踐經(jīng)驗(yàn)，從不同視角探索IoT安全建設(shè)的可行路徑，從而達(dá)到“眾行者遠(yuǎn)”的效果。

近年來，為解決物聯(lián)網(wǎng)的安全痛點(diǎn)，騰訊相繼發(fā)布了騰訊物聯(lián)網(wǎng)安全技術(shù)規(guī)范，以及sysAuditor等物聯(lián)網(wǎng)安全檢測工具，助力物聯(lián)網(wǎng)產(chǎn)業(yè)安全、穩(wěn)健發(fā)展。未來，騰訊安全將繼續(xù)借助CSO俱樂部等交流平臺，與產(chǎn)業(yè)保持深度互動(dòng)，共建繁榮的物聯(lián)網(wǎng)產(chǎn)業(yè)生態(tài)。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）