騰訊安全正式發(fā)布《IoT安全能力圖譜》

  • 人閱讀
  • 2021-04-07 13:31:22

  • 來源:天極網(wǎng)

  • 相關(guān)關(guān)鍵詞

IoT技術(shù),正在融合物理和數(shù)字世界的邊界。

近年來,智能家居、智慧城市、工業(yè)互聯(lián)網(wǎng)、智慧醫(yī)療等領(lǐng)域快速發(fā)展。IoT技術(shù)以聯(lián)結(jié)為基礎(chǔ)、數(shù)據(jù)作核心,在提升公眾生活質(zhì)量、增加企業(yè)生產(chǎn)效率、優(yōu)化政府公共管理等場景中實現(xiàn)了突破性的價值創(chuàng)造,逐步成為新時代不可或缺的基礎(chǔ)設(shè)施。

但技術(shù)和安全永遠是一體兩面。任何新技術(shù)的應(yīng)用,都不可避免地會帶來全新的安全風(fēng)險和挑戰(zhàn)。IoT技術(shù)也不例外,由之帶來的安全風(fēng)險亦呈現(xiàn)出全新特征:

1.IoT的攻擊難度更低:攻擊者可以從分布式的物聯(lián)網(wǎng)終端獲得更多的攻擊入口和對象。

2.IoT的防守成本更高:物聯(lián)終端因其功耗和計算能力限制,往往難以直接應(yīng)用現(xiàn)有的防御技術(shù)。

3.IoT攻擊的危害更大:物理和數(shù)字的融合,使得惡意攻擊者能夠真正給物理世界帶來更巨大的破壞。

對企業(yè)的安全管理者來說,在業(yè)務(wù)快速擁抱IoT技術(shù)變革的時代,如何使其安全能力快速匹配新業(yè)務(wù)場景,延續(xù)有效的安全控制水平,正在成為其核心的目標和關(guān)注點。

騰訊安全專家咨詢中心,結(jié)合IoT相關(guān)標準和國內(nèi)外IoT最佳實踐,針對企業(yè)如何構(gòu)建IoT安全能力體系,發(fā)布整體能力清單和指導(dǎo)框架,繪制成通用性的IoT安全能力圖譜,旨在幫助企業(yè)面向萬物互聯(lián)時代進行安全能力轉(zhuǎn)型和升級。

騰訊安全正式發(fā)布《IoT安全能力圖譜》

關(guān)注騰訊安全(公眾號:TXAQ2019)

回復(fù)【IoT安全能力圖譜】獲取原圖

騰訊IoT安全能力圖譜提出了六大能力:IoT安全治理能力、信任鏈構(gòu)建能力、價值鏈保護能力、IoT系統(tǒng)“管邊端”安全管控能力、IoT系統(tǒng)生命周期管理能力、IoT系統(tǒng)安全運營能力。

IoT安全治理能力,是高階的風(fēng)險治理能力和組織、流程保障機制,以建立對IoT風(fēng)險的有效分析、評價、處置和監(jiān)控能力。

貫穿“云管邊端”的信任鏈構(gòu)建能力和貫穿數(shù)據(jù)生命周期的價值鏈保護能力,主要強調(diào)從全局視角,在IoT系統(tǒng)各能力組件和參與方之間,建立起可信的網(wǎng)絡(luò)和業(yè)務(wù)聯(lián)結(jié),并基于其核心業(yè)務(wù)價值保護,對IoT系統(tǒng)采集和處理數(shù)據(jù)建立完整的全生命周期管控能力,這兩個能力的構(gòu)建需要充分打通IT和OT技術(shù)的邊界,從企業(yè)治理視角進行綜合考量。

IoT系統(tǒng)“管邊端”安全管控能力,聚焦IoT技術(shù)不同于傳統(tǒng)IT技術(shù)的特點,針對其“管邊端”業(yè)務(wù)場景特點給出了針對性的控制能力特化要求。

IoT系統(tǒng)生命周期管理能力和IoT系統(tǒng)安全運營能力,定位于對IoT安全治理要求和上述三項能力在IoT系統(tǒng)建設(shè)中的有效執(zhí)行落地、以及運營過程中的持續(xù)監(jiān)控和處置。

一、IoT安全治理能力

任何信息安全治理能力的核心,都是對風(fēng)險的有效識別和持續(xù)管控,IoT安全同樣并不例外。該能力構(gòu)建的重點在于建立企業(yè)層面針對IoT風(fēng)險的管控體系,并匹配相應(yīng)的組織、人員、流程和監(jiān)督保障。這些能力的構(gòu)建,是獨立于特定IoT系統(tǒng)的,但卻是做好特定系統(tǒng)IoT安全所必不可少的基礎(chǔ)支撐。

此外,IoT安全治理能力無需獨立于IT安全治理,其高階風(fēng)險管理、方針政策均應(yīng)保持統(tǒng)一,但在規(guī)范與流程層面,則應(yīng)建立基于各自業(yè)務(wù)特點的差異化要求和融合支撐機制。

二、貫穿“云管邊端”的信任鏈構(gòu)建能力

以聯(lián)結(jié)為基礎(chǔ)的IoT系統(tǒng),往往涉及了云、管、邊、端、人之間復(fù)雜和靈活的業(yè)務(wù)交互場景,且其核心能力的構(gòu)建,很多情況下還需要與其他IoT系統(tǒng)或第三方之間建立更多業(yè)務(wù)和數(shù)據(jù)交互。這些復(fù)雜聯(lián)結(jié)關(guān)系和業(yè)務(wù)邏輯,是惡意攻擊者最關(guān)注的對象,仿冒、控制、竊密、篡改等等手段不一而足。

所以,通過有效的身份治理、可信計算、認證鑒權(quán)和AI行為分析能力構(gòu)建的貫穿“云管邊端”信任鏈,就必然成為IoT安全的最核心能力要求,只有確??梢孕刨嘔oT系統(tǒng)的各個能力組件和服務(wù),其上構(gòu)建的復(fù)雜業(yè)務(wù)才能夠獲得基礎(chǔ)的安全保障。

三、貫穿數(shù)據(jù)生命周期的價值鏈保護能力

IoT系統(tǒng)的核心價值創(chuàng)造,高度依賴于數(shù)字化聯(lián)結(jié)之上的信息和數(shù)據(jù)采集、傳輸、分析和處置,而這也是另一個被惡意攻擊者密切關(guān)注的對象。對核心業(yè)務(wù)價值的保護,離不開基于業(yè)務(wù)場景的數(shù)據(jù)資產(chǎn)梳理和數(shù)據(jù)流分析。只有清楚確定了保護對象,以及基于數(shù)據(jù)流分析所識別的安全與合規(guī)風(fēng)險,才能有效保障這些數(shù)據(jù)及其承載的業(yè)務(wù)。

價值鏈保護能力圍繞數(shù)據(jù)生命周期,并重點關(guān)注CII和PII數(shù)據(jù)合規(guī),從IoT系統(tǒng)設(shè)計階段,就應(yīng)將安全與合規(guī)的要求整合到業(yè)務(wù)和場景當中,而不是依賴后加的數(shù)據(jù)安全產(chǎn)品來提供相應(yīng)的保護。

四、IoT系統(tǒng)“管邊端”安全管控能力

IoT系統(tǒng)“管邊端”安全管控能力聚焦于IoT系統(tǒng)不同于傳統(tǒng)IT系統(tǒng)的特點,對其散布在非可控空間的端側(cè)和管道側(cè)組件,提出針對性的能力要求。不同于前兩點的全局性能力,IoT系統(tǒng)“管邊端”安全管控能力往往內(nèi)嵌在IoT終端或網(wǎng)絡(luò)服務(wù)供應(yīng)商的產(chǎn)品解決方案中。

對于企業(yè)管理者來說,更重要能力的是基于實際IoT業(yè)務(wù)場景的安全風(fēng)險,參照本圖譜建議評估廠商方案的完備性。中長期來看,IoT安全能力體系的建設(shè)中,可以由監(jiān)管和測評機構(gòu)建立對IoT系統(tǒng)“管邊端”安全管控能力的評價和背書,以降低企業(yè)安全管理者在具體技術(shù)細節(jié)評估層面的投入。

五、IoT系統(tǒng)生命周期管理能力

IoT系統(tǒng)生命周期管理能力是一項過程能力,它強調(diào)的是安全管理者應(yīng)該在IoT系統(tǒng)設(shè)計、建設(shè)、使用和廢棄的全生命周期中,建立持續(xù)的安全風(fēng)險識別、跟蹤和處置能力。

特別是在系統(tǒng)設(shè)計和建設(shè)階段,充分將安全控制措施內(nèi)建在IoT系統(tǒng)自身邏輯中,而不過分依賴外加的安全產(chǎn)品。此外,多數(shù)IoT系統(tǒng)冗長和復(fù)雜的上下游生態(tài)和供應(yīng)鏈,則提出了更嚴格的供應(yīng)鏈安全管理能力要求。

六、IoT系統(tǒng)安全運營能力

與治理能力類似,IoT系統(tǒng)安全運營能力同樣不隸屬于特定的IoT系統(tǒng),且同樣建議和IT運營能力同步建設(shè),是上述其他安全能力有效和持續(xù)運作的基礎(chǔ)支撐,重要程度不容忽視。

IoT系統(tǒng)安全運營能力中,除了基礎(chǔ)的安全運營監(jiān)測、威脅與脆弱性管理外,非常重要的一個特點是,應(yīng)特別關(guān)注對核心業(yè)務(wù)的隔離與保護能力,避免信息安全事件延伸到重大人身、生產(chǎn)和國家安全事件。

出品人:

騰訊安全專家咨詢中心——呂一平、陳顥明、曹靜、田立、張康、朱新新、董林楠

騰訊安全IoT安全沙龍參會專家——柯皓仁、林志泳、蘇洪江、李津、譚藝、吳鵬、喬冠霖、孫雪萊、周智堅、張金池、羅科峰、楊祥駿、陳凱、傅鵬君、孫強、李鋒、孫曉奇、陳賢平、張富川、龐健榮(排名不分先后)

歡迎業(yè)內(nèi)技術(shù)專家加入騰訊IoT技術(shù)討論群,共同探討IoT能力和技術(shù)實踐。

掃描二維碼進群

騰訊安全正式發(fā)布《IoT安全能力圖譜》

或添加小助手微信【 tencent_security】

發(fā)送【IoT安全】進群

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責(zé)任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )