物联网安全的六个神话

1.灯泡和工业机器人以相同的方式保护

物联网实际上是两种截然不同的技术的超集。第一部分是我们最想到的消费级技术：想想灯泡，电视和真空吸尘器。第二部分是运营技术或OT：工业机器人，水轮机，电梯和发电厂继电器执行器。本质上的区别在于，OT是由一个专门的团队提供服务和维护的，通常由供应商紧密支持，而作为消费级技术的物联网不是。这种差异对于他们的安全方式和不安全的影响至关重要。但是，OT供应商通常在安全方面的经验少于IT供应商。不过，这是一个粗略的差异化。例如，由于制造商的参与，汽车虽然是一种消费技术，但仍在OT分类中。

2.标准将确保物联网

这是一个普遍的神话。我在阿联酋举办了OT/IoT圆桌会议，大多数人投票决定了他们相信标准将解决IoT安全问题。这当然就是事情的方式应该当通过安全镜头观察时，工作：安全标准在OT和IoT中效果很好，拥有既定的国家标准机构和实验室。但是，现实大不相同。

有希望，但没有时间很快就会发挥任何影响的作用。当今的标准几乎没有任何作用，因此我们在物联网中对它们的希望是有抱负的。

3.物联网供应商将开始修补他们的设备

产品制造商不想要不安全的东西。全部物联网正在补丁挑战，但出于不同的原因。这个简短的描述不会完全做到这一主题正义，因为这是一个非常细微和复杂的讨论。

OT团队确实有强烈的修补愿望，但是他们的软件更新周期通常比修补速度要慢。许多OT设备将永远不会看到补丁，因此，关键时期安全补丁的开发和交付不是其公司DNA的一部分。同样，补丁管理也不是OT组DNA的一部分，而不是“星期一的涡轮机和水过滤系统”等于星期二，也没有经常在OT环境中使用的补丁管理工具。大部分补丁必须在本地和手动进行。

物联网在修补方面有不同的问题。大多数物联网设备的设计都没有任何修补的前景。一些物联网供应商不会将软件团队保留在国内，从而使修补有问题。物联网软件的一部分嵌入在固件中 - 包含可能需要替换的缺陷的芯片 - 这意味着通常必须更换整个设备。我与一家物联网组件制造商进行了交谈，该制造商告诉我，每芯片将增加约0.02美元的价格，以便广泛测试代码并为安全漏洞提供补丁，而他们最近的竞争对手的价格为0.01 $ $ 0.01 $，并且该公司说公司从未有过。将买方的安全性用于购买决定。

4. OT会使一切变得更好

什么是不是一个神话是，企业IT部门之间通常存在紧张关系，而OT员工负责商店地板或生产环境的技术。OT团队肯定最了解他们的环境，但是与现代威胁和补丁管理技术相比，他们的能力和经验少。OT团队通常依靠他们熟悉的供应商 - 设备的制造商。但是，这些供应商反映了OT团队，因为它们适应了新的敌对环境。这些供应商中的大多数甚至没有任何形式错误赏金或脆弱性研究界面。考虑一下 - OT及其供应商估计必须从0-100过夜；从气动的低威胁世界到由民族国家和定制恶意软件攻击的IP攻击世界。OT团队确实了解他们的环境最好，因此他们正确地对IT团队持怀疑态度。这导致我们……

5.它会使一切变得更好

在物联网和OT安全性的早期，假定当前的IT技术将是解决方案。只需在公司网络上做我们的工作，一切都会好起来的。不幸的是，很明显，事情并不像往常一样。并非所有内容都具有IP支持，我们不能冒险将关键基础架构连接到公司环境，停电或停机时间的服务级协议比涉及奇怪的协议的宽容少了，如果没有这些设备的覆盖范围，那么几乎没有任何内容通过脆弱性研究。IT安全具有中央情报局的三合会作为其基础：机密性，完整性和可用性。突然，添加了一条新的腿：安全。IT安全和OPS部门没有能力以这种影响级别执行其当前任务。

它下面的物联网比OT好一些，但仍然需要弯曲IT部门可能不愿意进行的。大多数研究预测，物联网设备的增长幅度大于IT设备。即使团队愿意，大多数IT安全产品也没有能力处理物联网规模。例如，大多数安全信息和事件产品已经受到挑战以处理警报负载，以及每秒处理连接的防火墙。物联网在大多数企业中添加了大约10倍的负载，IT部门通常不愿承担管理和确保其责任领域中似乎不是设备的负载。今天没有IOT安全答案​​。但这并不能阻止威胁格局在过渡期间将IoT用作攻击表面。

6.特殊的物联网安全产品将解决所有问题

很早就有物联网特定的安全产品出现了。它们往往是无线集中的，这是一件好事，因为这么多的物联网连接是基于无线的，或者来自OT设备制造商。但是，影响受到限制。OT制造商带来有效产品的速度很慢，而旧金山和物联网的真正美元释放缓慢却疏远了供应商。关键问题是，大多数物联网和OT安全技术与已经在组织上脱钩的公司IT安全集团没有链接，这使得安全操作中心的工作几乎是一个手动的任务，即致电同事以查找信息。

答案很可能是通过OT供应商和IT安全供应商之间的合作伙伴关系，采用已经高级的安全技术并将其硬化在组织，文化和技术环境中。物联网是一个更困难的问题，因为这些“未解决物品”必须被侵入预防系统和反疑虑软件所包围。它不是预匹配的盾牌，而是永不限制的斑点盾牌。细分和屏蔽，尤其是通过无线连接，成为未来状态。

最重要的是，并非所有的物联网都是平等创建的，不能平等地保护。但是物联网在这里，坏人知道这是一个柔软的腹部。代表IT和OT的组织的“两个孤独”可以共同确保ot，但主要取决于它可以拥抱和保护消费级的物联网技术。不要属于这些神话设定的陷阱 - 要通知并现在就可以解决这些问题。

所有的物联网议程网络贡献者都负责其帖子的内容和准确性。意见是作家的，不一定会传达物联网议程的思想。