上個月,工業網際網路聯盟(IIC)釋出了其兩篇論文中的第一篇:《物聯網安全成熟度模型:描述和預期用途》,其主要是針對技術水準低下的物聯網利益相關者的進階概述。
微軟物聯網标準首席政策師 Ron Zahavi在接受采訪時表示,“這第一篇主要是為商務人員準備的,旨在幫助他們了解安全所需的東西,并協助他們将其轉化為自己業務所需的成熟度等級。”
此外,第二篇為安全從業人員提供更多技術觀點的論文預計将在今年夏季釋出。Zahavi表示,“将兩篇文章分開釋出,是允許不同的組織和垂直行業有時間來開發可以與第二份技術檔案一起釋出的特定配置檔案。”
這種新型物聯網安全成熟度模型(SMM)的目的,是為所有行業部門(無論個人安全需求如何)提供單一的物聯網安全成熟度模型,并将其與所有物聯網實施關聯起來,無論是家庭、辦公室還是工廠。工業網際網路聯盟的指導原則是開發一種适用于所有行業的新模式——涵蓋流程和技術,利用NIST和ISA-62443等現有架構而不是試圖去替代它們,簡單且可擴充,并且适合供所有現有的安全評估公司使用。
它從成熟度模組化所需的三個主要次元開始:治理(Governance)、支援(Enablement)和強化(hardening)。每個次元包含不同的領域。
治理涵蓋戰略、實踐和流程的運作和管理,如威脅模組化和風險評估以及供應鍊管理。支援包括傳統安全技術的操作和管理,如身份和通路管理、資料保護、資産管理以及實體管理等。強化則涵蓋漏洞和更新檔管理的營運、事件響應以及審計等方面。
概括而言,它就是流程、技術和操作。
然後在兩個軸線上——“全面性”和“範圍”——對每個領域和實踐進行評估。Zahavi表示,“全面性”是關于将安全措施應用于次元、領域和實踐的深度和一緻性的程度。其可以分為四個級别(如果加上“沒有”的話就是五個級别):最小的;臨時性的(安全性往往是對被宣傳的事件或問題的反應);一緻的(使用最佳做法和标準,可能是集中管了解決方案而不是現場解決方案);以及形式化的(包括一個定義明确的流程來管理一切,并随着時間的推移将其持續改進)。
“範圍”被定義為适合行業或系統需求的程度。主要分為三個層次:一般(沒有具體評估與特定物聯網部門的相關性);行業特定(根據行業特定需求實施安全錯略-例如醫療保健行業可能與制造業不同);以及系統特定(安全實施與特定組織中特定系統的特定需求和風險保持一緻)。Zahavi 評論道,對于系統特定的範圍,零售組織可能希望在其PoS傳感器和其供應鍊傳感器之間進行細化。
将不同實踐的“全面性”和“範圍”相結合,使得組織能夠在實際和目标級别,以及安全實施的細粒度級别上定義其物聯網安全成熟度。
成熟的目标水準幾乎是風險偏好的展現。這是一個業務功能,而不是安全功能。多年來,安全團隊一直盲目營運,以緻業務和安全之間的溝通很少。現在,這種情況正在發生改變。工業數字化和營運技術(簡稱OT,物聯網裝置的主要發源地)與資訊技術的融合,以及随後發生的将物聯網裝置暴露于網際網路上,正在改變安全故障的底線。
資訊的丢失可能會造成高昂的代價,并損害品牌信譽,而其對制造業造成的損失更可能是災難性的。針對工控系統攻擊的日益增長,以及攻擊對工業盈利造成的巨大影響已經引起了董事會的注意,董事會現在要求安全人員對其實施的物聯網安全措施是否能夠保障安全給出解釋。如今,通過使用工業網際網路聯盟釋出的物聯網安全成熟度模型可以幫助更好地将安全性與業務優先級結合起來,并且有助于實作業務和安全的一緻性。
工業網際網路聯盟建議稱,可以讓業務負責人指定成熟度目标,而安全團隊則進行目前的成熟度評估。兩個級别之間的差異可以通過差距分析來評估,從中可以制定彌合差距的路線圖。該路線圖的目标是讓任何所需的安全性增強,進而進行成熟度級别的重新評估以及流程的重複。
完成這一過程所需的一個輔助工具是成熟度模闆。工業網際網路聯盟希望不同行業的不同公司開發和釋出可供其他組織使用的進階 IIC SMM 成熟度模型。
IIC采用這種新型物聯網安全成熟度模型的意圖是增強而不是替代現有的安全架構。
已經存在可以接受安全控制機制的公認架構。但是,舉例而言,如果你看一下NIST所采用的控制表和映射表,你會發現,它們并沒有達到評估“我為我的行業做了什麼,以及我需要達到什麼級别?”的水準。
他繼續說道,“‘我們正在做什麼?’答案是,我們正在為其創造更高層次的成熟度,這一點在所有其他架構中都沒有得到滿足—我們正在強化現有的安全架構,而不是想要取代它。例如,我們并沒有建議特定的所需安全控制,而是映射SMM,而且我們将繼續這樣做(例如,NIST也是IIC成員),将實踐和适當的成熟度等級映射到現有的架構和安全控制中。是以,其目的是,如果您擁有零售或醫療保健或制造業的配置檔案,那麼您應該能夠定位自己的行業領域,然後回到那些現有的架構中,以更狹窄的視角來看待您需要部署哪些機制和控制以在自己的領域實作自己公司的目标成熟度。”
IIC物聯網安全成熟度模型有助于企業利用現有的安全架構達到他們自己定義的物聯網安全成熟目标水準。
原文釋出時間為:2018-05-21
本文作者:Jasmine
本文來自雲栖社群合作夥伴“
安全牛”,了解相關資訊可以關注“
”。