更多全球網絡安全資訊盡在E安全官網www.easyaq.com
E安全6月10日訊 美國工業互聯網聯盟(簡稱 IIC)在其安全框架和相關架構的基礎上制定出一套新的物聯網安全成熟度模型(SMM),並於2018年4月9日發佈其中一份白皮書
《物聯網安全成熟度模型:描述和預期用途》。IIC 安全適應性小組聯合主席兼微軟物聯網(IoT)標準首席策略師羅恩·扎哈維表示,這套標準專門為企業制定,以幫助其瞭解安全要求,並將其轉化為自身業務所需的成熟度水平。另一份白皮書將為安全從業人員提供了更多技術的觀點,將於2018年夏天發佈,其允許不同的組織和垂直行業制定可隨這份技術白皮書一起發佈的特定描述文件。
IIC 的這份白皮書旨在為所有行業提供一套通用的物聯網安全成熟度模型。IIC 的指導原則是利用現有的框架(例如 NIST 和 ISA-62443)制定一套適用於所有行業、涵蓋流程和技術的新模型。IIC 的初衷是希望這套模型簡單、可擴展,並適用於現有的安全評估公司。
扎哈維解釋稱,這套安全成熟度模型基於三大核心要素:治理、實現與強化。每個要素均包含不同的指標:
治理:包含策略以及實踐和流程的運作管理,例如威脅建模、風險評估和供應鏈管理。
實現:包含對傳統安全技術的運作與管理,如身份與訪問管理、數據保護、資產管理和物理管理等。
強化:涉及漏洞和補丁管理、事件響應與審計等方面。
簡而言之,這套模型涵蓋了流程、技術和操作。
扎哈維指出,每個要素和實踐通過“綜合性”和“範圍”兩大標準來進行評估。
綜合性
“綜合性”指的是將安全措施應用到具體方面、領域和實踐的深度和一致性,分為4個水平:
最差;
臨時性:往往是被動響應公開的事件或問題);
一致性:採用最佳實踐和標準,可能更傾向於集中化);
正規化:(具有定義明確的管理程序,並持續改進)。
範圍
“範圍”指的是滿足行業或系統需求的程度,包含3個水平:
普遍:未具體評估特定的物聯網行業;
特定於行業:採用特定於行業的安全措施,比如醫療保健可能與製造業不同;
特定於系統:根據特定組織機構特定系統的特定需求和風險落實安全。
對於特定系統的範圍,扎哈維評論指出,零售企業可能希望對PoS傳感器和供應鏈傳感器進行劃分。
企業可將不同的實踐與這兩大評估標準結合,以此定義實際的物聯網安全成熟度水平和目標水平。
目標成熟水平幾乎算是一種風險偏好,它屬於業務功能而非安全功能。多年來,企業的安全團隊一直在盲目運營,在業務與安全之間極度缺乏溝通。這一點正在發生改變,工業數字化、運營技術(OT)和信息技術(IT)的融合以及物聯網設備暴露在互聯網上的現狀正在改變安全問題的底線。
雖然數據洩露的代價昂貴且有損聲譽,而生產中斷可能會帶來災難性的後果。工業控制系統(ICS)攻擊增多,此類事件對企業的影響已經引起了董事會的關注。如今,企業董事會開始要求報告物聯網部署是否安全。這套安全成熟度模型可幫助企業更好地將安全。
閱讀更多 E安全 的文章
