近日,佛山市东联科技有限公司总裁兼首席执行官、知名白帽黑客、东方联盟创始人朴素可乐表示:“大多数企业并没有建立自己的物联网(IoT )系统。 很少有组织能够在自己的环境中开发和部署自己的IoT设备。 在许多情况下,硬件是专用的,大多数软件看起来不像是自己的Java开发人员使用的。 对于这样高风险的项目,只有足够的价值是不可能的。 因此,企业倾向于购买消费者的物联网设备,并将其纳入企业的安全体系结构中,可能很难正确应对。 这并不意味着企业在面临物联网安全风险时会束手无策,但这确实使企业物联网安全成为供应链的问题。 ”
无法解决这些问题的风险和后果IoT设备和系统代表其他公司的攻击面,与允许用户在移动设备上“自带设备”相同。 这些设备面临着与企业网络中部署的其他设备相同类型的风险。 物联网设备安全漏洞可能会导致设备侵占和敏感数据泄露,为攻击者提供可用于发起其他攻击的企业网络立足点。
此外,这些物联网系统往往会传输大量敏感数据,包括敏感信息、专有信息和隐私信息。 这些数据将离开公司防火墙,由IoT系统提供商托管的服务处理,给企业带来负担。 需要了解这些IoT系统如何影响风险状况。
评估和管理物联网第三方风险的最佳实践第三方风险必须作为整体供应商风险管理计划的一部分以结构化方式处理。 部署在企业网络中并处理敏感企业信息的新物联网系统必须通过审计过程运行,从而使组织能够了解风险暴露的变化。 此过程可以共享标准供应商风险管理器的许多相同特征,但可能需要扩展以解决由物联网系统引起的特定问题。 由于这些系统将专用硬件与潜在的非标准操作系统相结合,因此我们特别关注升级实践和支持生命周期问题。
什么是物联网,这些设备的安全特性和其配套服务?物联网风险第三方风险管理计划涵盖的物联网风险第三方风险管理计划涵盖物联网系统访问的数据的机密性、完整性和可用性的标准关注如果物联网系统试图访问数据并遵守法规遵从性和法规法律,则评估要求可能会增加。
东方联盟朴素的可乐还表示:“很多物联网系统,即使不是不可能,也可能很难在部署后升级,因此第三方风险管理计划会随时发现缺陷,解决希望解决的物联网系统
现有框架和标准IoT安全有几个新标准,但没有对整个行业产生重大影响的标准。 这个物联网项目的OWASP互联网了解了物联网设备,将消费者、企业和工业用户的安全问题和相关服务机构联系起来了很多宝贵的资源。 其中包括10个风险清单、安全测试方法、测试实践有缺陷的系统实例和其他资料。
最后的结论由于很多企业没有建立自己的物联网系统,企业物联网带来的风险很大,供应链问题很大。 希望利用物联网系统在企业环境中的潜在优势的组织可以在收购过程中开始评估此第三方风险,以最佳预测和解决与他们正在寻找的物联网系统相关的安全风险的采用(欢迎转载共享)