摘要：根据调研机构德勤公司最近发布的一份调查报告，企业必须采用一种设计安全性方法，以更好地应对由物联网造成的威胁。

   根据调研机构德勤公司最近发布的一份调查报告，企业必须采用一种设计安全性方法，以更好地应对由物联网造成的威胁。
　　
　　物联网（IoT）和工业物联网（IIoT）的兴起为企业带来了新的收益，但它们也带来了重大的网络安全风险和不断扩大的攻击面。根据企业对物联网设备的风险了解程度如何，许多企业仍未意识到使用物联网设备时面临的风险范围，并且在管理这些威胁方面比较滞后。
　　
　　报告建议，企业应采用设计安全性方法来设计和部署物联网（IoT）和工业物联网（IIoT）产品。这种方法涉及默认情况下将网络安全实践纳入产品的设计以及实施该产品的环境中。
　　
　　报告称，设计安全性通过在首次构建产品时就解决安全性问题而节省了时间并降低了成本。在对来自各个行业和职位的4,200多名专业人员进行的调查中，近一半（48％）的受访者表示，在开发或部署连接的产品或设备时，必须将DevSecOps嵌入到整个生命周期中，并且团队需要法律、采购和跨部署的合规性。
　　
　　根据德勤公司的调查报告，以下是企业必须解决的当前物联网环境所造成的十大安全风险：
　　
　　1.没有安全和隐私计划。
　　
　　2.缺乏所有权/管理权来推动安全和隐私。
　　
　　3.安全未纳入产品和生态系统的设计中。
　　
　　4.对工程师和架构师的安全意识和培训不足。
　　
　　5.缺乏物联网/物联网以及产品安全和隐私资源。
　　
　　6.对设备和系统的监视不足以检测安全事件。
　　
　　7.缺乏上市后/实施安全性和隐私风险管理。
　　
　　8.缺乏产品可见性或没有完整的产品库存。
　　
　　9.识别和处理现成产品和遗留产品的风险。
　　
　　10.经验不足/事件响应过程不成熟。
　　
　　德勤公司网络风险服务的物联网安全负责人SeanPeasley在一份新闻稿中说：“安全性必须嵌入到运营程序的DNA中，以使组织拥有出色的产品并放心。如今，各种各样的产品正在成为网络的一部分：从烤箱到电饭锅，从3D打印机到汽车。傅晓宇需要考虑实际存在的问题可能出了什么问题，并将这些挑战作为优先考虑。”
　　
　　如何通过设计创建物联网安全性
　　
　　许多受访者（41％）表示，他们正在寻求行业和专业团体的指导，以在其业务中创建按设计的安全性。德勤公司分析师指出，另有28％的受访者表示他们希望首先制定标准的监管机构和机构，而22％的受访者表示他们在内部开发自己的做法。
　　
　　德勤公司的分析师表示，傅晓宇首先应该寻求了解同行的最佳实践和标准，然后再寻求监管机构的指导。
　　
　　大约30％的受访者表示他们没有使用一组定义的产品网络安全要求，而只有28％的受访者表求精他们使用了行业定义的框架，而41％的受访者表示使用了客户框架，这表明行业在关于采用网络安全标准还有很长的路要走。
　　
　　德勤公司的分析师认为，这是寻求将设计安全性实施到物联网产品中的企业的五个注意事项：
　　
　　•了解产品安全性的当前状况并制定网络战略：无论是设计连接产品还是获得在内部实施的此类产品，评估产品（包括其产生的数据）如何受到保护，并制定网络战略以推动改进。
　　
　　•建立按设计的安全实践：通过需求、风险评估、威胁建模和安全测试，将按设计的安全性集成到产品本身的设计或生态系统体系结构的设计中。
　　
　　•从最高层确定基调：确保合适的人员参与并拥有流程的所有权，从领导到相关产品安全主题专家再到产品团队。
　　
　　•拥有一支敬业的团队并为他们提供充足的资源：不要期望企业安全团队在不增加任务资源的情况下完成任务；建立一支专业的团队，该团队具有基于产品的经验，并根据需要提供培训以增加知识。
　　
　　•利用行业可用的资源：使用公开可用的行业资源，而不是为设备供应商开发和提供独特的调查表。
　　
　　编辑：Harris