Carding 4 Carders
Professional
- Messages
- 2,730
- Reaction score
- 1,467
- Points
- 113
В связи с быстрым развитием технологий Интернет вещей (IoT) меняет способы ведения бизнеса по всему миру. Это достижение и мощь Интернета вещей стали ничем иным, как трансформацией в принятии решений на основе данных, повышении эффективности и оптимизации операций в соответствии с требованиями конкурентного глобального рынка.
IoT на перепутье
IoT, в своих самых основных терминах, представляет собой пересечение физического и цифрового мира с различными приложениями и целями. Это устройства, датчики и системы всех видов, использующие возможности взаимосвязанности через Интернет для обеспечения бесперебойного взаимодействия с бизнесом.
До сегодняшнего дня мы, как профессионалы в области безопасности, очень хорошо писали о многочисленных и разнообразных приложениях и способах использования Интернета вещей и согласились с тем фактом, что безопасность Интернета вещей важна. Однако действительно ли мы поняли общую картину? И это означает, что для того, чтобы IoT действительно полностью раскрыл свой потенциал как полностью взаимосвязанной экосистемы, кибербезопасность и IoT должны быть синонимами и взаимозависимыми, чтобы быть по-настоящему мощными.
Таким образом, казалось бы естественным, что многие эксперты считают, что IoT находится на серьезном перепутье. Справа показана исключительная ценность, которую IoT приносит в изолированных кластерах, а слева - потенциал раскрытия его истинной ценности как мощной и далеко идущей, полностью взаимосвязанной экосистемы IoT. Вопрос в том, по какому пути это пойдет? Я считаю, что ответ лежит между доверием и функциональностью Интернета вещей, при этом риск кибербезопасности является основным препятствием посередине, стоящим на пути к успешному созданию интегрированного целого.
Если это однородное партнерство состоится, это станет грандиозным изменением и прорывом во всех отраслях и ключевых приложениях, таких как производство, банковское дело, здравоохранение, а также логистика и цепочки поставок. Но сегодняшняя экосистема Интернета вещей и кибербезопасности фрагментирована, и для достижения этой трансформации придется преодолеть препятствия.
Внедрение Интернета вещей
IoT продолжает расширяться практически по всем отраслевым вертикалям, но пока масштабируется не так быстро, как ожидалось. Цель заключается в том, чтобы использовать устройства и их функциональные возможности для беспрепятственного перехода из физической среды в идентифицированную, надежную и прошедшую проверку подлинности.
Растущее количество подключенных устройств и их сложность в использовании Интернета вещей создают множество возможностей для поставщиков и подрядчиков в цепочке поставок, но это также создает риск катастрофических уязвимостей и последствий для бизнеса. Это было не более очевидно, чем массовое нарушение цепочки поставок Solar Winds, где профиль рисков IoT часто намного выше по сравнению с корпоративными ИТ, учитывая, что кибератака на контроль физических операций IoT приносит более высокую прибыль и более значительный выигрыш в глазах злоумышленника.
Таким образом, традиционные подходы к обеспечению безопасности в IoT не поддерживают безопасную и бесперебойную передачу информации, данных или функциональных возможностей из одной точки в другую. Для этого требуется интеграция кибербезопасности на ранней стадии проектирования реальной архитектуры Интернета вещей и пилотного этапа.
В недавнем отчете покупателей IoT отмечается, что в современных решениях IoT мало многоуровневой защиты. Это приводит к появлению уязвимостей, которые, в свою очередь, требуют обновлений и исправлений по сети, которые не могут быть надежно реализованы. По сравнению с корпоративными ИТ-технологиями разработка решений в сфере Интернета вещей отстает в обеспечении безопасности, тестировании и верификации.
Совместимость - это еще одна проблема, которую поставщики решений должны преодолеть наряду с интеграцией в области кибербезопасности на ранних стадиях внедрения IoT. Поэтому неудивительно, что мы, поставщики решений, сильно недооценили важность доверия к IoT и кибербезопасности, руководствуясь менталитетом "сначала создайте это, а за этим последует кибербезопасность". Но это именно то, что препятствует ускорению внедрения IoT, поскольку многие отрасли все еще сомневаются не в ценности IoT, а в стоимости внедрения системы IoT, которая не является по-настоящему надежной или безопасной.
Узнайте больше о тестировании на проникновение Интернета вещей.
От изолированности к коллективному принятию решений
Итак, к чему это нас приводит? Эта головоломка с IoT напоминает мне о времени, когда операции по обеспечению безопасности (SecOps) и разработчики приложений (DevOps) также работали независимо друг от друга в изолированном режиме. Эти две команды не пытались коллективно решать проблемы безопасности или обмениваться информацией и принимать решения, необходимые для того, чтобы сделать жизненный цикл разработки программного обеспечения (SDLC) неотъемлемым фактором при принятии решений в области безопасности. Скорее, это была запоздалая мысль, которой часто пренебрегали.
Для решения проблем кибербезопасности была создана единая структура принятия решений между группами разработчиков приложений и подразделениями по кибербезопасности, чтобы выработать необходимый подход к обеспечению безопасности корпоративных приложений. Теперь эти команды работают вместе над принятием решений в области безопасности наряду с разработкой приложений и их дизайном. Команды IoT и кибербезопасности также должны совершить этот совместный рывок, чтобы получить те же долгосрочные преимущества и вознаграждение.
По некоторым оценкам, к 2030 году рынок поставщиков Интернета вещей, как ожидается, достигнет примерно 500 миллиардов долларов. В сценарии, при котором кибербезопасность полностью контролируется, в некоторых отчетах указывалось, что руководители увеличат расходы на IoT в среднем на 20-40 процентов. Более того, новые и появляющиеся варианты использования могут принести поставщикам Интернета вещей дополнительную выгоду в размере от пяти до десяти процентных пунктов. Это означает, что совокупная стоимость адресуемого рынка (TAM) для поставщиков IoT в разных отраслях может составить от 625 до 750 миллиардов долларов.
Устранение важнейших факторов для внедрения IoT на рынке
В последние годы внедрение Интернета вещей ускорилось, перейдя от миллионов разрозненных кластеров интернета вещей, состоящих из набора взаимодействующих интеллектуальных устройств, к полностью взаимосвязанной среде Интернета вещей. Этот сдвиг происходит внутри отраслевых вертикалей и выходит за отраслевые границы. Ожидается, что к 2025 году рынок поставщиков интернета вещей достигнет 300 миллиардов долларов, с 8-процентным годовым доходом в период с 2020 по 2025 год и 11-процентным годовым доходом в период с 2025 по 2030 год
Будущее внедрение Интернета вещей зависит от надежного обмена информацией в доверительной и автономной среде, в которой взаимосвязанные устройства взаимодействуют через несвязанные операционные системы, сети и платформы, что позволяет проектировщикам и инженерам создавать мощные решения IoT, в то время как операции по обеспечению безопасности обеспечивают безопасное взаимодействие с конечным пользователем.
Это поможет устранить такие критические факторы, как:
Роль кибербезопасности
В недавнем опросе, проведенном во всех отраслях промышленности, недостатки кибербезопасности были названы основным препятствием для внедрения Интернета вещей, а риски кибербезопасности - главной проблемой. Из этих респондентов 40 процентов указали, что они увеличат бюджет и развертывание IoT на 25 процентов, или что будет устранено больше проблем с кибербезопасностью.
Кроме того, конкретные риски кибербезопасности, с которыми сталкивается каждая отрасль, будут различаться в зависимости от варианта использования. Например, кибербезопасность в медицинском учреждении может включать в себя виртуальный уход и дистанционное наблюдение за пациентом, при этом приоритетным становится обеспечение конфиденциальности и доступности данных. С появлением банковского дела и API-интерфейсов для удовлетворения растущих потребностей в большем количестве финансовых услуг конфиденциальность стала приоритетом из-за хранения личной идентифицируемой информации (PII) и бесконтактных платежей, которые в значительной степени зависят от целостности данных.
В 2021 году более чем 10-процентный ежегодный рост числа взаимосвязанных устройств Интернета вещей привел к повышению уязвимости в результате кибератак, утечки данных и недоверия. К настоящему времени мы, как профессионалы в области безопасности, понимаем, что частота и серьезность кибератак, связанных с IoT, будут возрастать, и без эффективных программ кибербезопасности Интернета вещей многие организации будут потеряны в локализованном производственном мире, где риски возрастают, а развертывание застопорилось.
Как уже отмечалось, поставщики решений для кибербезопасности IoT, как правило, рассматривают кибербезопасность отдельно от проектирования и разработки IoT, ожидая развертывания для оценки рисков безопасности. Мы предложили дополнительные решения, а не то, что они являются основной, неотъемлемой частью процесса проектирования IoT.
Один из способов внести изменения в этот подход - внедрить все пять функциональных возможностей, определенных Национальным институтом стандартов и технологий:
Тестирование на проникновение: Для выявления потенциальных пробелов в безопасности по всей цепочке создания стоимости Интернета вещей тестирование на проникновение может проводиться как на ранней стадии проектирования, так и позже в процессе проектирования. В результате система безопасности будет внедрена в достаточной степени, чтобы устранить недостатки на этапе производства. Будут выявлены и исправлены исправления в программном обеспечении, что позволит устройству соответствовать самым последним правилам безопасности и сертификациям.
Автоматизированное тестирование и тестирование с участием человека: Стремление к сертификации для IoT и внедрение стандартов безопасности в практику проектирования IoT может однажды привести к тому, что люди будут доверять устройствам IoT и разрешать машинам работать более автономно. Учитывая различные нормативные требования в разных отраслях промышленности, для обеспечения кибербезопасности Интернета Вещей, скорее всего, потребуется сочетание традиционных инструментов и инструментов, предоставляемых человеком, а также ориентированный на безопасность дизайн продукта.
Управление поверхностью атаки (ASM): подход ASM к IoT основан на выявлении фактического киберриска путем обнаружения открытых активов IOT и связанных с ними уязвимостей. Этот процесс обнаружения активов Интернета вещей позволяет провести инвентаризацию и расставить приоритеты для тех активов, которые подвергаются наибольшему риску воздействия, и устранить недостатки, связанные с этими активами, до возникновения инцидента.
Целостный подход ЦРУ: Кибербезопасность предприятий традиционно ориентирована на конфиденциальность и целостность, в то время как операционные технологии (OT) ориентированы на доступность. Поскольку риски кибербезопасности для IoT охватывают как цифровую, так и физическую безопасность, следует рассмотреть более целостный подход, учитывающий всю структуру конфиденциальности, целостности и доступности (CIA). Концепция киберрисков для IoT должна состоять из шести ключевых результатов, обеспечивающих безопасную среду IoT: конфиденциальность данных и доступ к ним в условиях конфиденциальности, надежность и соответствие требованиям в условиях целостности, а также время безотказной работы и устойчивость в условиях доступности.
Что будет дальше?
Существует четкое понимание того, что IoT и кибербезопасность должны объединяться для принятия мер безопасности и тестирования на ранних этапах проектирования, разработки и развертывания IoT. Более интегрированные решения для обеспечения кибербезопасности во всем технологическом стеке уже обеспечивают идентификацию уязвимостей Интернета вещей, выявление киберрисков активов Интернета вещей и управление ими, а также аналитические платформы для предоставления контекстуальных данных, необходимых для более четкой расстановки приоритетов и устранения слабых мест в системе безопасности. Однако недостаточное количество поставщиков решений для обеспечения безопасности создают комплексные решения как для кибербезопасности, так и для Интернета вещей из-за его сложности, различных вертикалей, систем, стандартов и правил, а также вариантов использования.
Нет сомнений в том, что для решения задач кибербезопасности Интернета вещей и устранения болевых точек среди специалистов по безопасности и IoT, а также внутренних заинтересованных сторон, которым не хватает консенсуса относительно того, как сбалансировать производительность и безопасность.
Чтобы раскрыть ценность взаимосвязанной среды, кибербезопасность является связующим звеном, позволяющим интегрировать доверие, безопасность и функциональность и ускорить внедрение Интернета вещей. Разрозненные решения в области Интернета вещей и кибербезопасности должны совпадать, а внедрение специфичных для отрасли архитектурных решений безопасности на стадии проектирования должно стать стандартной практикой. Работая сообща над объединением фрагментированной модели Интернета вещей, мы можем выдвинуть киберриски на передний план Интернета вещей, чтобы создать мощный, более безопасный и эффективный взаимосвязанный мир.
О BreachLock
BreachLock является мировым лидером в области PTaaS и сервисов тестирования на проникновение, а также управления поверхностью атаки (ASM). BreachLock предлагает автоматизированные решения на базе искусственного интеллекта, предоставляемые человеком, на одной интегрированной платформе, основанной на стандартизированной встроенной платформе, которая позволяет проводить последовательные и регулярные тесты тактики, методов и процедур атаки (TTP), средств контроля безопасности и процессов для обеспечения повышенной предсказуемости, согласованности и точных результатов в режиме реального времени, каждый раз.
Примечание: Эта статья была профессионально написана Энн Чесбро, вице-президентом по маркетингу продуктов BreachLock, Inc.
IoT на перепутье
IoT, в своих самых основных терминах, представляет собой пересечение физического и цифрового мира с различными приложениями и целями. Это устройства, датчики и системы всех видов, использующие возможности взаимосвязанности через Интернет для обеспечения бесперебойного взаимодействия с бизнесом.
До сегодняшнего дня мы, как профессионалы в области безопасности, очень хорошо писали о многочисленных и разнообразных приложениях и способах использования Интернета вещей и согласились с тем фактом, что безопасность Интернета вещей важна. Однако действительно ли мы поняли общую картину? И это означает, что для того, чтобы IoT действительно полностью раскрыл свой потенциал как полностью взаимосвязанной экосистемы, кибербезопасность и IoT должны быть синонимами и взаимозависимыми, чтобы быть по-настоящему мощными.
Таким образом, казалось бы естественным, что многие эксперты считают, что IoT находится на серьезном перепутье. Справа показана исключительная ценность, которую IoT приносит в изолированных кластерах, а слева - потенциал раскрытия его истинной ценности как мощной и далеко идущей, полностью взаимосвязанной экосистемы IoT. Вопрос в том, по какому пути это пойдет? Я считаю, что ответ лежит между доверием и функциональностью Интернета вещей, при этом риск кибербезопасности является основным препятствием посередине, стоящим на пути к успешному созданию интегрированного целого.
Если это однородное партнерство состоится, это станет грандиозным изменением и прорывом во всех отраслях и ключевых приложениях, таких как производство, банковское дело, здравоохранение, а также логистика и цепочки поставок. Но сегодняшняя экосистема Интернета вещей и кибербезопасности фрагментирована, и для достижения этой трансформации придется преодолеть препятствия.
Внедрение Интернета вещей
IoT продолжает расширяться практически по всем отраслевым вертикалям, но пока масштабируется не так быстро, как ожидалось. Цель заключается в том, чтобы использовать устройства и их функциональные возможности для беспрепятственного перехода из физической среды в идентифицированную, надежную и прошедшую проверку подлинности.
Растущее количество подключенных устройств и их сложность в использовании Интернета вещей создают множество возможностей для поставщиков и подрядчиков в цепочке поставок, но это также создает риск катастрофических уязвимостей и последствий для бизнеса. Это было не более очевидно, чем массовое нарушение цепочки поставок Solar Winds, где профиль рисков IoT часто намного выше по сравнению с корпоративными ИТ, учитывая, что кибератака на контроль физических операций IoT приносит более высокую прибыль и более значительный выигрыш в глазах злоумышленника.
Таким образом, традиционные подходы к обеспечению безопасности в IoT не поддерживают безопасную и бесперебойную передачу информации, данных или функциональных возможностей из одной точки в другую. Для этого требуется интеграция кибербезопасности на ранней стадии проектирования реальной архитектуры Интернета вещей и пилотного этапа.
В недавнем отчете покупателей IoT отмечается, что в современных решениях IoT мало многоуровневой защиты. Это приводит к появлению уязвимостей, которые, в свою очередь, требуют обновлений и исправлений по сети, которые не могут быть надежно реализованы. По сравнению с корпоративными ИТ-технологиями разработка решений в сфере Интернета вещей отстает в обеспечении безопасности, тестировании и верификации.
Совместимость - это еще одна проблема, которую поставщики решений должны преодолеть наряду с интеграцией в области кибербезопасности на ранних стадиях внедрения IoT. Поэтому неудивительно, что мы, поставщики решений, сильно недооценили важность доверия к IoT и кибербезопасности, руководствуясь менталитетом "сначала создайте это, а за этим последует кибербезопасность". Но это именно то, что препятствует ускорению внедрения IoT, поскольку многие отрасли все еще сомневаются не в ценности IoT, а в стоимости внедрения системы IoT, которая не является по-настоящему надежной или безопасной.
Узнайте больше о тестировании на проникновение Интернета вещей.
От изолированности к коллективному принятию решений
Итак, к чему это нас приводит? Эта головоломка с IoT напоминает мне о времени, когда операции по обеспечению безопасности (SecOps) и разработчики приложений (DevOps) также работали независимо друг от друга в изолированном режиме. Эти две команды не пытались коллективно решать проблемы безопасности или обмениваться информацией и принимать решения, необходимые для того, чтобы сделать жизненный цикл разработки программного обеспечения (SDLC) неотъемлемым фактором при принятии решений в области безопасности. Скорее, это была запоздалая мысль, которой часто пренебрегали.
Для решения проблем кибербезопасности была создана единая структура принятия решений между группами разработчиков приложений и подразделениями по кибербезопасности, чтобы выработать необходимый подход к обеспечению безопасности корпоративных приложений. Теперь эти команды работают вместе над принятием решений в области безопасности наряду с разработкой приложений и их дизайном. Команды IoT и кибербезопасности также должны совершить этот совместный рывок, чтобы получить те же долгосрочные преимущества и вознаграждение.
По некоторым оценкам, к 2030 году рынок поставщиков Интернета вещей, как ожидается, достигнет примерно 500 миллиардов долларов. В сценарии, при котором кибербезопасность полностью контролируется, в некоторых отчетах указывалось, что руководители увеличат расходы на IoT в среднем на 20-40 процентов. Более того, новые и появляющиеся варианты использования могут принести поставщикам Интернета вещей дополнительную выгоду в размере от пяти до десяти процентных пунктов. Это означает, что совокупная стоимость адресуемого рынка (TAM) для поставщиков IoT в разных отраслях может составить от 625 до 750 миллиардов долларов.
Устранение важнейших факторов для внедрения IoT на рынке
В последние годы внедрение Интернета вещей ускорилось, перейдя от миллионов разрозненных кластеров интернета вещей, состоящих из набора взаимодействующих интеллектуальных устройств, к полностью взаимосвязанной среде Интернета вещей. Этот сдвиг происходит внутри отраслевых вертикалей и выходит за отраслевые границы. Ожидается, что к 2025 году рынок поставщиков интернета вещей достигнет 300 миллиардов долларов, с 8-процентным годовым доходом в период с 2020 по 2025 год и 11-процентным годовым доходом в период с 2025 по 2030 год
Будущее внедрение Интернета вещей зависит от надежного обмена информацией в доверительной и автономной среде, в которой взаимосвязанные устройства взаимодействуют через несвязанные операционные системы, сети и платформы, что позволяет проектировщикам и инженерам создавать мощные решения IoT, в то время как операции по обеспечению безопасности обеспечивают безопасное взаимодействие с конечным пользователем.
Это поможет устранить такие критические факторы, как:
- Проблемы безопасности: Безопасность является серьезной проблемой в IoT, поскольку множество взаимосвязанных устройств создают больше потенциальных точек входа для хакеров. Опасения по поводу утечек данных, неприкосновенности частной жизни и неразглашения данных, а также потенциальной возможности кибератак являются серьезными препятствиями, которые необходимо устранить.
- Проблемы конфиденциальности: устройства Интернета вещей часто собирают и передают огромные объемы персональных данных. Опасения по поводу конфиденциальности этих данных, а также того, как они используются и кто имеет к ним доступ, могут препятствовать их внедрению. Правила защиты данных, такие как GDPR в Европейском союзе и различные законы о конфиденциальности во всем мире, также играют определенную роль в формировании внедрения Интернета вещей.
- Совместимость: устройства Интернета вещей выпускаются различными производителями и могут использовать разные протоколы связи и стандарты. Достижение совместимости между этими устройствами является сложной задачей, что затрудняет для организаций создание комплексных, кросс-совместимых и безопасных систем Интернета вещей.
- Отсутствие стандартов: Отсутствие общепринятых стандартов в индустрии интернета вещей может препятствовать совместимости и создавать путаницу для предприятий и их партнеров по цепочке поставок. Усилия по установлению общих стандартов Интернета вещей во всей цепочке создания стоимости Интернета вещей способствовали бы его внедрению.
- Управление данными: IoT генерирует огромные объемы данных, которые могут оказаться непосильными для организаций. Управление, хранение и анализ этих данных могут быть сложной задачей, и многим организациям может не хватать необходимой инфраструктуры и опыта в области безопасности, необходимых для обслуживания этих данных и защиты их от потенциальных угроз безопасности.
- Нормативные препятствия: Нормативная среда может значительно отличаться в зависимости от региона или страны, что затрудняет компаниям навигацию и соблюдение различных законов и нормативных актов, связанных с IoT. Обеспечение того, чтобы безопасная передача и обмен данными между устройствами Интернета вещей соответствовали этим правилам, будет так же важно, как и необходимая для этого инфраструктура безопасности.
Роль кибербезопасности
В недавнем опросе, проведенном во всех отраслях промышленности, недостатки кибербезопасности были названы основным препятствием для внедрения Интернета вещей, а риски кибербезопасности - главной проблемой. Из этих респондентов 40 процентов указали, что они увеличат бюджет и развертывание IoT на 25 процентов, или что будет устранено больше проблем с кибербезопасностью.
Кроме того, конкретные риски кибербезопасности, с которыми сталкивается каждая отрасль, будут различаться в зависимости от варианта использования. Например, кибербезопасность в медицинском учреждении может включать в себя виртуальный уход и дистанционное наблюдение за пациентом, при этом приоритетным становится обеспечение конфиденциальности и доступности данных. С появлением банковского дела и API-интерфейсов для удовлетворения растущих потребностей в большем количестве финансовых услуг конфиденциальность стала приоритетом из-за хранения личной идентифицируемой информации (PII) и бесконтактных платежей, которые в значительной степени зависят от целостности данных.
В 2021 году более чем 10-процентный ежегодный рост числа взаимосвязанных устройств Интернета вещей привел к повышению уязвимости в результате кибератак, утечки данных и недоверия. К настоящему времени мы, как профессионалы в области безопасности, понимаем, что частота и серьезность кибератак, связанных с IoT, будут возрастать, и без эффективных программ кибербезопасности Интернета вещей многие организации будут потеряны в локализованном производственном мире, где риски возрастают, а развертывание застопорилось.
Как уже отмечалось, поставщики решений для кибербезопасности IoT, как правило, рассматривают кибербезопасность отдельно от проектирования и разработки IoT, ожидая развертывания для оценки рисков безопасности. Мы предложили дополнительные решения, а не то, что они являются основной, неотъемлемой частью процесса проектирования IoT.
Один из способов внести изменения в этот подход - внедрить все пять функциональных возможностей, определенных Национальным институтом стандартов и технологий:
- Идентификация рисков - Развитие общеорганизационного понимания для управления рисками кибербезопасности систем, активов, данных и возможностей.
- Защита от атак – разработка и внедрение соответствующих мер предосторожности для обеспечения предоставления критически важных инфраструктурных услуг.
- Обнаружение взломов – Разработка и внедрение соответствующих мероприятий для выявления события, связанного с кибербезопасностью.
- Реагирование на атаки – разработка и внедрение соответствующих мероприятий для принятия мер в связи с обнаруженным инцидентом кибербезопасности.
- Восстановление после атак – разработка и внедрение соответствующих мероприятий для поддержания планов обеспечения устойчивости и восстановления любых возможностей или сервисов, которые были нарушены в результате инцидента с кибербезопасностью.
Тестирование на проникновение: Для выявления потенциальных пробелов в безопасности по всей цепочке создания стоимости Интернета вещей тестирование на проникновение может проводиться как на ранней стадии проектирования, так и позже в процессе проектирования. В результате система безопасности будет внедрена в достаточной степени, чтобы устранить недостатки на этапе производства. Будут выявлены и исправлены исправления в программном обеспечении, что позволит устройству соответствовать самым последним правилам безопасности и сертификациям.
Автоматизированное тестирование и тестирование с участием человека: Стремление к сертификации для IoT и внедрение стандартов безопасности в практику проектирования IoT может однажды привести к тому, что люди будут доверять устройствам IoT и разрешать машинам работать более автономно. Учитывая различные нормативные требования в разных отраслях промышленности, для обеспечения кибербезопасности Интернета Вещей, скорее всего, потребуется сочетание традиционных инструментов и инструментов, предоставляемых человеком, а также ориентированный на безопасность дизайн продукта.
Управление поверхностью атаки (ASM): подход ASM к IoT основан на выявлении фактического киберриска путем обнаружения открытых активов IOT и связанных с ними уязвимостей. Этот процесс обнаружения активов Интернета вещей позволяет провести инвентаризацию и расставить приоритеты для тех активов, которые подвергаются наибольшему риску воздействия, и устранить недостатки, связанные с этими активами, до возникновения инцидента.
Целостный подход ЦРУ: Кибербезопасность предприятий традиционно ориентирована на конфиденциальность и целостность, в то время как операционные технологии (OT) ориентированы на доступность. Поскольку риски кибербезопасности для IoT охватывают как цифровую, так и физическую безопасность, следует рассмотреть более целостный подход, учитывающий всю структуру конфиденциальности, целостности и доступности (CIA). Концепция киберрисков для IoT должна состоять из шести ключевых результатов, обеспечивающих безопасную среду IoT: конфиденциальность данных и доступ к ним в условиях конфиденциальности, надежность и соответствие требованиям в условиях целостности, а также время безотказной работы и устойчивость в условиях доступности.
Что будет дальше?
Существует четкое понимание того, что IoT и кибербезопасность должны объединяться для принятия мер безопасности и тестирования на ранних этапах проектирования, разработки и развертывания IoT. Более интегрированные решения для обеспечения кибербезопасности во всем технологическом стеке уже обеспечивают идентификацию уязвимостей Интернета вещей, выявление киберрисков активов Интернета вещей и управление ими, а также аналитические платформы для предоставления контекстуальных данных, необходимых для более четкой расстановки приоритетов и устранения слабых мест в системе безопасности. Однако недостаточное количество поставщиков решений для обеспечения безопасности создают комплексные решения как для кибербезопасности, так и для Интернета вещей из-за его сложности, различных вертикалей, систем, стандартов и правил, а также вариантов использования.
Нет сомнений в том, что для решения задач кибербезопасности Интернета вещей и устранения болевых точек среди специалистов по безопасности и IoT, а также внутренних заинтересованных сторон, которым не хватает консенсуса относительно того, как сбалансировать производительность и безопасность.
Чтобы раскрыть ценность взаимосвязанной среды, кибербезопасность является связующим звеном, позволяющим интегрировать доверие, безопасность и функциональность и ускорить внедрение Интернета вещей. Разрозненные решения в области Интернета вещей и кибербезопасности должны совпадать, а внедрение специфичных для отрасли архитектурных решений безопасности на стадии проектирования должно стать стандартной практикой. Работая сообща над объединением фрагментированной модели Интернета вещей, мы можем выдвинуть киберриски на передний план Интернета вещей, чтобы создать мощный, более безопасный и эффективный взаимосвязанный мир.
О BreachLock
BreachLock является мировым лидером в области PTaaS и сервисов тестирования на проникновение, а также управления поверхностью атаки (ASM). BreachLock предлагает автоматизированные решения на базе искусственного интеллекта, предоставляемые человеком, на одной интегрированной платформе, основанной на стандартизированной встроенной платформе, которая позволяет проводить последовательные и регулярные тесты тактики, методов и процедур атаки (TTP), средств контроля безопасности и процессов для обеспечения повышенной предсказуемости, согласованности и точных результатов в режиме реального времени, каждый раз.
Примечание: Эта статья была профессионально написана Энн Чесбро, вице-президентом по маркетингу продуктов BreachLock, Inc.
