现在,物联网(IoT)在企业中创建了一个推拉式的环境,一方面,运营人员想要把它推出去,以便利用启用了物联网的技术,另一方面,出于安全方面的担忧,IT人员又想要把它拉回来。
物联网(IoT)为企业带来了大量好处,它能够让设备、人员和服务器相互之间进行交互,提高效率,降低运营费用和提高数据驱动的决策力,同时也能转变终端用户体验。但是,虽然物联网有诸多潜在的好处,但它也会给企业带来一些内部挑战,即如何保护IoT网络——最终的决定权在谁手上?
物联网(IoT)正在企业中创建了一个推拉式的环境,一方面,运营人员想要把它推出去,以便利用启用了物联网的技术,另一方面,出于安全方面的担忧,IT人员又想要把它拉回来。比如,想象一个OT部门的经理倡导部署启用了IoT的视频监控。好处是很难否认的——通过利用智能安全解决方案实时监控设备,从而极大改进现有的安全流程。但是,IT则质疑通过监控设备获取实时数据流过程中安全标准(或缺乏)。IT坚持认为,录影机要想成为一个可行的选项,增加安全策略和流程是需要的。这一额外的层可能会降低数据的传输速度,但是没有它,整个网络的安全性就会受到威胁。两种选项都不是理想的,因此,谁说了算?
IT和OT团队之间产生冲突已经不是什么新鲜事了,造成冲突的原因可以归结为一个简单的事实:他们的工作任务不同。考虑到不同的目标,这些团队便不能就如何最有效地利用物联网达成一致。这时,首席安全官(CSO)就可以以调解员的身份介入,促进合作,并推动实施这样一种方法:将启用了物联网的设备整合到网络中,同时不对网络安全造成任何影响。
为了达到这一目的,首席信息官应该对形势有一个整体的看法。Gemalto的一项研究显示,96%的企业在保护物联网设备方面缺乏信心。潜在的安全漏洞使得那些想要利用新的攻击载体的网络攻击者有机可乘,比如管理不善的设备。当这些连接端点被暴露时,攻击者就可以通过他们的方式到达业务运营的核心来提取信息。
尽管物联网设备在不断发展,但是有一点十分重要,需要记住,即构建它们不是为了网络安全,而是为了快速有效地提供数据。设备在本质上并没有嵌入安全原则,因此,企业不应当假定这些设备遵循了要求的安全标准。
尽管利用认证或加密解决方案(在这些解决方案中,有大量极佳的选项可用)来加强这些设备的安全性,这听起来很诱人,但是这些产品会减缓物联网设备提供数据的过程。考虑一个拥有1000台ATM机的金融机构。如何管理和监控加密和认证?网络和个人资源的成本是多少?而且更重要的是,它将如何影响最终用户体验和提高效率的最终目标?
一直以来,OT部门就在寻找将其环境分离开来的可行方式,同时它在IT环境中又可以正常运作。然而,在当下的威胁环境中,维护安全性就意味着利用单独的VLAN或创建独立的基础设施等大多数常见的方式,要么会花费高昂的运营费用,要么会增加大量不必要的网络复杂性。
为了兼顾OT和IT团队的工作目标,首席信息官可以利用网络分段作为一种减少漏洞但又不影响性能的手段。通过完全隔离支持企业运营的OT团队,部署这一方式能够使IT和OT团队不能发现彼此。这可以通过对网络——以及员工的工作方式——做一点微小改变来实现——而不需要大量的人力或金融资源来进行管理和配置。
建立能够同时满足IT和OT团队需要的安全解决方案,需要从上至下进行磋商。通过建立这样一种方法,即能够有效确保网络受到保护,不受脆弱的连接设备的影响,同时又不会影响系统功能,双方都会认为是一种胜利。物联网设备能够如预期运行,同时IT又能确信,将关键的操作进行了隔离,从而不存在网络漏洞。