智能扫地机器人、联网的咖啡机、可以远程控制的汽车……随着越来越多的物联网(IoT)设备走进消费者身边,万物互联渐成现实。在给消费者带来便利的同时, IoT设备等安全和隐私问题也引发了广泛关切。不止是在消费场景,工业、农业、能源、零售等等众多关系到国计民生的领域,物联网也作为重要的数字化工具,正在加速落地。同样需要关注的是,IoT设备一旦联网,安全风险也将随之而来,企业的生产运营、品牌声誉都将面临更严峻的挑战。
3月27日,腾讯安全CSO俱乐部邀请中国信通院、南方电网、华为、广汽、比亚迪、荣耀、OPPO、VIVO等领军企业的二十多位首席安全官(CSO)、研发主管齐聚深圳,共同探讨IoT时代的安全体系建设,寻找企业可以借鉴的IoT安全能力图谱。
中国信息通信研究院安全研究所主任 柯皓仁
中国信息通信研究院安全研究所柯皓仁主任从“管”、“服”协同的角度,分享了他对数字时代下的IoT安全破局的思考。柯皓仁认为,在我国的消费互联网发展历程中,网络安全顶层设计落后于应用发展。但在产业互联网的落地发展进程中,应同步、甚至提前进行网络安全规划设计,保障产业互联网安全发展。
具体到物联网安全的建设,柯皓仁提出六点建议:
一是明确基线。对于物联网的应用来讲,不同安全应用的场景去提出不同安全级别的安全防护基本要求。
二是摸清底数。主管部门要摸清重要企业清单和重要数据保护目录,应用企业要摸清自身物联网应用的相关保护对象与资产情况。
三是重点突破。针对重点行业、重点企业开展相关安全能力评估与能力提升。
四是示范推广。在C端和B端按不同的要求推进,C端侧重隐私保护计划与能力示范,B端侧重企业贯标要求示范。
五是基础能力。物联网本身平台终端比较多,所以应形成多种类平台、终端的基础资源库,包括对应的安全漏洞库建立。
六是机制建立。应鼓励企业去建立包括监测预警、信息共享、协同处置等在内的整个安全闭环的工作机制,去形成管理闭环。
行业资深CSO 周智坚
行业资深CSO周智坚从信息安全产业的发展历程,分析了安全的过去,现在和未来的IOT供应链安全。根据欧洲相关IOT安全准则的风险描述,周智坚将IoT供应链安全风险概括为物理攻击、知识产权损失、恶意活动和滥用、法律要求、非恶意损失及信息丢失5大领域,和相应的9个风险点。
他认为,IOT供应链安全可以从参与者、流程、技术3个安全关注点,29条安全改善措施出发,站在IoT业务逻辑图的角度,把IoT业务分成IoT设备、IoT网关、IoT平台、IoT应用、业务运营五个模块,而IoT供应链安全的可能解决方案可以概括为:IoT设备安全+一句话安全+安全ERP+N个安全产品。
对于不同主体的安全能力建设,周智坚建议,对于甲方安全的负责人,做好了现阶段的安全1+1+N,就可以从容应对IoT供应链安全。对于其他安全技术人员,攻击渗透促进安全建设的逻辑未来一样有效,应多了解和发现IoT供应链上的安全漏洞和风险。安全厂商可以从IoT设备安全质量评级、IoT设备安全质量自动检测工具、业务过程中的安全ERP及数据分析平台等方向发力。
腾讯安全技术专家 张康
腾讯安全技术专家张康在会上分享了腾讯安全科恩实验室的物联网攻防实践。他认为,碎片化严重、缺乏威胁检测方法、更新缓慢以及隐私保护,是物联网面临的主要风险挑战。
从技术角度来说,任何一个场景,不管IoT还是物联网,最小权限、系统默认、保持更新、纵深防御,这些信息安全的原则永远不会过时。
张康认为,如果把安全基本原则做好了,系统就已经处在相对比较高的安全等级。同时,结合一些漏洞扫描、检测的自动化工具应用到安全开发流程中,可以进一步提升安全能力。他介绍了腾讯安全研发的嵌入式系统安全审计平台sysAuditor。作为一款自动化检测工具,sysAuditor沉淀了科恩实验室的渗透测试经验,可以帮助企业实现国家、行业、企业自身多个层面的安全基线合规,检测结果以API的形式输出,可以与现有平台集成。
在分组讨论环节,与会嘉宾就产业实践中关注的IoT风险点、与业务场景的关联、安全需求与资源的矛盾以及物联网安全的未来趋势等议题展开深入讨论,探讨IoT安全治理与安全运营所需的能力图谱。
参会嘉宾就IoT安全能力建设展开深入讨论
万物互联,安全先行。在物联网即将加速渗透的关键阶段,安全无疑是需要提前打好的“地基”。通过腾讯安全CSO俱乐部沙龙搭建的交流平台,物联网厂商与安全厂商得以深入交流彼此关切,分享实践经验,从不同视角探索IoT安全建设的可行路径,从而达到“众行者远”的效果。
近年来,为解决物联网的安全痛点,腾讯相继发布了腾讯物联网安全技术规范,以及sysAuditor等物联网安全检测工具,助力物联网产业安全、稳健发展。未来,腾讯安全将继续借助CSO俱乐部等交流平台,与产业保持深度互动,共建繁荣的物联网产业生态。