智能掃地機器人、聯網的咖啡機、可以遠程控制的汽車。。。隨著越來越多的物聯網(IoT)設備走進消費者身邊,萬物互聯漸成現實。在給消費者帶來便利的同時, IoT設備等安全和隱私問題也引發了廣泛關切。不止是在消費場景,工業、農業、能源、零售等等眾多關系到國計民生的領域,物聯網也作為重要的數字化工具,正在加速落地。同樣需要關注的是,IoT設備一旦聯網,安全風險也將隨之而來,企業的生產運營、品牌聲譽都將面臨更嚴峻的挑戰。
3月27日,騰訊安全CSO俱樂部邀請中國信通院、南方電網、華為、廣汽、比亞迪、榮耀、OPPO、VIVO等領軍企業的二十多位首席安全官(CSO)、研發主管齊聚深圳,共同探討IoT時代的安全體系建設,尋找企業可以借鑒的IoT安全能力圖譜。
(中國信息通信研究院安全研究所主任 柯皓仁)
中國信息通信研究院安全研究所柯皓仁主任從“管”、“服”協同的角度,分享了他對數字時代下的IoT安全破局的思考。柯皓仁認為,在我國的消費互聯網發展歷程中,網絡安全頂層設計落后于應用發展。但在產業互聯網的落地發展進程中,應同步、甚至提前進行網絡安全規劃設計,保障產業互聯網安全發展。
具體到物聯網安全的建設,柯皓仁提出六點建議:一是明確基線。對于物聯網的應用來講,不同安全應用的場景去提出不同安全級別的安全防護基本要求。二是摸清底數。主管部門要摸清重要企業清單和重要數據保護目錄,應用企業要摸清自身物聯網應用的相關保護對象與資產情況。三是重點突破。針對重點行業、重點企業開展相關安全能力評估與能力提升。四是示范推廣。在C端和B端按不同的要求推進,C端側重隱私保護計劃與能力示范,B端側重企業貫標要求示范。五是基礎能力。物聯網本身平臺終端比較多,所以應形成多種類平臺、終端的基礎資源庫,包括對應的安全漏洞庫建立。六是機制建立。應鼓勵企業去建立包括監測預警、信息共享、協同處置等在內的整個安全閉環的工作機制,去形成管理閉環。
(行業資深CSO 周智堅)
行業資深CSO周智堅從信息安全產業的發展歷程,分析了安全的過去,現在和未來的IOT供應鏈安全。根據歐洲相關IoT安全準則的風險描述,周智堅將IoT供應鏈安全風險概括為物理攻擊、知識產權損失、惡意活動和濫用、法律要求、非惡意損失及信息丟失5大領域,和相應的9個風險點。他認為,IOT供應鏈安全可以從參與者、流程、技術3個安全關注點,29條安全改善措施出發,站在IoT業務邏輯圖的角度,把IoT業務分成IoT設備、IoT網關、IoT平臺、IoT應用、業務運營五個模塊,而IoT供應鏈安全的可能解決方案可以概括為:IoT設備安全+一句話安全+安全ERP+N個安全產品。
對于不同主體的安全能力建設,周智堅建議,對于甲方安全的負責人,做好了現階段的安全1+1+N,就可以從容應對IoT供應鏈安全。對于其他安全技術人員,攻擊滲透促進安全建設的邏輯未來一樣有效,應多了解和發現IoT供應鏈上的安全漏洞和風險。安全廠商可以從IoT設備安全質量評級、IoT設備安全質量自動檢測工具、業務過程中的安全ERP及數據分析平臺等方向發力。
(騰訊安全技術專家 張康)
騰訊安全技術專家張康在會上分享了騰訊安全科恩實驗室的物聯網攻防實踐。他認為,碎片化嚴重、缺乏威脅檢測方法、更新緩慢以及隱私保護,是物聯網面臨的主要風險挑戰。
從技術角度來說,任何一個場景,不管IoT還是物聯網,最小權限、系統默認、保持更新、縱深防御,這些信息安全的原則永遠不會過時。
張康認為,如果把安全基本原則做好了,系統就已經處在相對比較高的安全等級。同時,結合一些漏洞掃描、檢測的自動化工具應用到安全開發流程中,可以進一步提升安全能力。他介紹了騰訊安全研發的嵌入式系統安全審計平臺sysAuditor。作為一款自動化檢測工具,sysAuditor沉淀了科恩實驗室的滲透測試經驗,可以幫助企業實現國家、行業、企業自身多個層面的安全基線合規,檢測結果以API的形式輸出,可以與現有平臺集成。
在分組討論環節,與會嘉賓就產業實踐中關注的IoT風險點、與業務場景的關聯、安全需求與資源的矛盾以及物聯網安全的未來趨勢等議題展開深入討論,探討IoT安全治理與安全運營所需的能力圖譜。
(參會嘉賓就IoT安全能力建設展開深入討論)
萬物互聯,安全先行。在物聯網即將加速滲透的關鍵階段,安全無疑是需要提前打好的“地基”。通過騰訊安全CSO俱樂部沙龍搭建的交流平臺,物聯網廠商與安全廠商得以深入交流彼此關切,分享實踐經驗,從不同視角探索IoT安全建設的可行路徑,從而達到“眾行者遠”的效果。
近年來,為解決物聯網的安全痛點,騰訊相繼發布了騰訊物聯網安全技術規范,以及sysAuditor等物聯網安全檢測工具,助力物聯網產業安全、穩健發展。未來,騰訊安全將繼續借助CSO俱樂部等交流平臺,與產業保持深度互動,共建繁榮的物聯網產業生態。
