騰訊安全正式釋出《IoT安全能力圖譜》

騰訊安全發表於2021-04-08

IoT技術,正在融合物理和數字世界的邊界。

近年來,智慧家居、智慧城市、工業網際網路、智慧醫療等領域快速發展。IoT技術以聯結為基礎、資料作核心,在提升公眾生活質量、增加企業生產效率、最佳化政府公共管理等場景中實現了突破性的價值創造,逐步成為新時代不可或缺的基礎設施。

但技術和安全永遠是一體兩面。任何新技術的應用,都不可避免地會帶來全新的安全風險和挑戰。IoT技術也不例外,由之帶來的安全風險亦呈現出全新特徵:

  • IoT的攻擊難度更低:攻擊者可以從分散式的物聯網終端獲得更多的攻擊入口和物件。
  • IoT的防守成本更高:物聯終端因其功耗和計算能力限制,往往難以直接應用現有的防禦技術。
  • IoT攻擊的危害更大:物理和數字的融合,使得惡意攻擊者能夠真正給物理世界帶來更巨大的破壞。

對企業的安全管理者來說,在業務快速擁抱IoT技術變革的時代,如何使其安全能力快速匹配新業務場景,延續有效的安全控制水平,正在成為其核心的目標和關注點。

騰訊安全專家諮詢中心,結合IoT相關標準和國內外IoT最佳實踐,針對企業如何構建IoT安全能力體系,釋出整體能力清單和指導框架,繪製成通用性的IoT安全能力圖譜,旨在幫助企業面向萬物互聯時代進行安全能力轉型和升級。

騰訊安全正式釋出《IoT安全能力圖譜》

關注騰訊安全(公眾號:TXAQ2019

回覆【IoT安全能力圖譜】獲取原圖

騰訊IoT安全能力圖譜提出了六大能力:IoT安全治理能力、信任鏈構建能力、價值鏈保護能力、IoT系統“管邊端”安全管控能力、IoT系統生命週期管理能力、IoT系統安全運營能力。

  • IoT安全治理能力,是高階的風險治理能力和組織、流程保障機制,以建立對IoT風險的有效分析、評價、處置和監控能力。
  • 貫穿雲管邊端的信任鏈構建能力和貫穿資料生命週期的價值鏈保護能力,主要強調從全域性視角,在IoT系統各能力元件和參與方之間,建立起可信的網路和業務聯結,並基於其核心業務價值保護,對IoT系統採集和處理資料建立完整的全生命週期管控能力,這兩個能力的構建需要充分打通ITOT技術的邊界,從企業治理視角進行綜合考量。
  • IoT系統管邊端安全管控能力,聚焦IoT技術不同於傳統IT技術的特點,針對其管邊端業務場景特點給出了針對性的控制能力特化要求。
  • IoT系統生命週期管理能力和IoT系統安全運營能力,定位於對IoT安全治理要求和上述三項能力在IoT系統建設中的有效執行落地、以及運營過程中的持續監控和處置。

一、IoT安全治理能力

任何資訊保安治理能力的核心,都是對風險的有效識別和持續管控,IoT安全同樣並不例外。該能力構建的重點在於建立企業層面針對IoT風險的管控體系,並匹配相應的組織、人員、流程和監督保障。這些能力的構建,是獨立於特定IoT系統的,但卻是做好特定系統IoT安全所必不可少的基礎支撐。

此外,IoT安全治理能力無需獨立於IT安全治理,其高階風險管理、方針政策均應保持統一,但在規範與流程層面,則應建立基於各自業務特點的差異化要求和融合支撐機制。

二、貫穿“雲管邊端”的信任鏈構建能力

以聯結為基礎的IoT系統,往往涉及了雲、管、邊、端、人之間複雜和靈活的業務互動場景,且其核心能力的構建,很多情況下還需要與其他IoT系統或第三方之間建立更多業務和資料互動。這些複雜聯結關係和業務邏輯,是惡意攻擊者最關注的物件,仿冒、控制、竊密、篡改等等手段不一而足。

所以,透過有效的身份治理、可信計算、認證鑑權和AI行為分析能力構建的貫穿“雲管邊端”信任鏈,就必然成為IoT安全的最核心能力要求,只有確保可以信賴IoT系統的各個能力元件和服務,其上構建的複雜業務才能夠獲得基礎的安全保障。

三、貫穿資料生命週期的價值鏈保護能力

IoT系統的核心價值創造,高度依賴於數字化聯結之上的資訊和資料採集、傳輸、分析和處置,而這也是另一個被惡意攻擊者密切關注的物件。對核心業務價值的保護,離不開基於業務場景的資料資產梳理和資料流分析。只有清楚確定了保護物件,以及基於資料流分析所識別的安全與合規風險,才能有效保障這些資料及其承載的業務。

價值鏈保護能力圍繞資料生命週期,並重點關注CII和PII資料合規,從IoT系統設計階段,就應將安全與合規的要求整合到業務和場景當中,而不是依賴後加的資料安全產品來提供相應的保護。

四、IoT系統“管邊端”安全管控能力

IoT系統“管邊端”安全管控能力聚焦於IoT系統不同於傳統IT系統的特點,對其散佈在非可控空間的端側和管道側元件,提出針對性的能力要求。不同於前兩點的全域性效能力,IoT系統“管邊端”安全管控能力往往內嵌在IoT終端或網路服務供應商的產品解決方案中。

對於企業管理者來說,更重要能力的是基於實際IoT業務場景的安全風險,參照本圖譜建議評估廠商方案的完備性。中長期來看,IoT安全能力體系的建設中,可以由監管和測評機構建立對IoT系統“管邊端”安全管控能力的評價和背書,以降低企業安全管理者在具體技術細節評估層面的投入。

五、IoT系統生命週期管理能力

IoT系統生命週期管理能力是一項過程能力,它強調的是安全管理者應該在IoT系統設計、建設、使用和廢棄的全生命週期中,建立持續的安全風險識別、跟蹤和處置能力。

特別是在系統設計和建設階段,充分將安全控制措施內建在IoT系統自身邏輯中,而不過分依賴外加的安全產品。此外,多數IoT系統冗長和複雜的上下游生態和供應鏈,則提出了更嚴格的供應鏈安全管理能力要求。

六、IoT系統安全運營能力

與治理能力類似,IoT系統安全運營能力同樣不隸屬於特定的IoT系統,且同樣建議和IT運營能力同步建設,是上述其他安全能力有效和持續運作的基礎支撐,重要程度不容忽視。

IoT系統安全運營能力中,除了基礎的安全運營監測、威脅與脆弱性管理外,非常重要的一個特點是,應特別關注對核心業務的隔離與保護能力,避免資訊保安事件延伸到重大人身、生產和國家安全事件。 

出品人:騰訊安全專家諮詢中心——呂一平、陳顥明、曹靜、田立、張康、朱新新、董林楠

騰訊安全IoT安全沙龍參會專家——柯皓仁、林志泳、蘇洪江、李津、譚藝、吳鵬、喬冠霖、孫雪萊、周智堅、張金池、羅科峰、楊祥駿、陳凱、傅鵬君、孫強、李鋒、孫曉奇、陳賢平、張富川、龐健榮(排名不分先後)

歡迎業內技術專家加入騰訊IoT技術討論群,共同探討IoT能力和技術實踐。

掃描二維碼進群

騰訊安全正式釋出《IoT安全能力圖譜》 

或新增小助手微信【 tencent_security

傳送【IoT安全】進群

 


相關文章