工业互联网联盟(IIC)基于其自身的安全框架和参考架构开发了一种新型物联网安全成熟度模型(SMM),有助于企业利用现有的安全框架达到他们自己定义的物联网安全成熟度目标级别。本周 IIC 发布了两篇报告中的第一篇 — 《物联网安全成熟度模型:描述和预期用途》,该篇主要是针对较少技术的物联网利益相关者的高级概述。微软物联网标准首席策略师 Ron Zahavi 预计第二篇为安全从业人员提供更多技术观点的白皮书将会在夏季发布。
根据 Ron Zahavi 的说法,《物联网安全成熟度模型:描述和预期用途》是为商人准备的,因为可以帮助他们了解安全所需要的东西,并帮助他们将其转化为自己业务所需的成熟度等级(所需的成熟度级别成为目标成熟度级别)。
Zahavi 表示,这种新型物联网安全成熟度模型的目的是为所有行业部门提供单一的物联网 SMM 和所有与物联网实施相关的,无论个人安全需求如何,也无论是家庭、办公室还是工厂。IIC 的指导原则是开发一种适用于所有行业的新模式,涵盖流程和技术、合理利用 NIST 和 ISA-62443 等现有框架,而不是试图去替代它们、简单和可扩展的、并且可供所有现有的安全评估公司使用等方面。
该模式从成熟度建立在三个主要维度上的基础开始:治理、支持和强化。每个维度包含不同的领域,Zahavi 解释说:
“治理涵盖战略、实践和流程的运作和管理,如威胁建模和风险评估以及供应链管理。支持包括传统安全技术的操作和管理,如身份和访问管理、数据保护、资产管理、物理管理等。强化则是关于漏洞和补丁管理的运营方面,以及事件响应和审计等。”
然后在两个轴线上(“综合性”和“范围”)对每个领域和实践进行评估。
综合性是关于将安全措施应用于维度、领域和实践的深度和一致性的程度。分为四个等级(如果包含’没有’,则为五个):
– 最低限度;
– 临时性(安全性往往是对被宣传的事件或问题的反应);
– 一致(使用最佳做法和标准,可能集中而不是现场解决方案);
– 形式化(包括一个定义明确的流程,用于管理一切随着时间的推移并将其持续改进)
范围被定义为适合行业或系统需求的程度,分为三种层次:
* 一般(没有具体评估与物联网部门的相关性);
* 针对特定行业(如果针对行业特定要求实施安全,医疗保健可能与制造业不同);
* 和系统特定的(安全实施与特定组织中特定系统的特定需求和风险相一致)。对于系统特定的范围,Zahavi 评论说,零售组织可能希望在其 PoS 传感器和其供应链传感器之间进行划分。
将不同实践的综合性和范围相结合,使组织能够在实际和目标级别以及安全实施级别上精细地定义其物联网安全成熟度。
成熟的目标水平几乎是风险偏好的体现,这是一个业务功能,而不是安全功能。多年来,安全团队一直盲目运营,以致业务和安全之间的沟通很少。目前这种情况正在改变,并且工业数字化和操作技术(物联网设备的主要发源地)与信息技术的融合以及将物联网设备在互联网上的曝光正在改变安全失效的底线。
虽然信息的损失可能会造成会损害品牌或者造成惨痛的代价,但是制造业的损失可能是灾难性的。而使用 IIC SMM 则可以帮助更好地将安全性与业务优先级结合起来,并有助于业务和安全性的结合。
IIC 给出的具体建议是:
让业务负责人指定成熟度目标,而安全团队则进行当前的成熟度评估。两个级别之间的差异可以通过差距分析来评估,从中可以制定弥合差距的路线图。路线图可以让任何所需的安全性增强,从而引起成熟度级别的重新评估以及流程的重复。
这个过程的一个辅助工具是成熟度模板,当然 IIC 采用这种新的物联网安全成熟度模型的意图是增强而不是替代现有的安全框架,并且 IIC 也希望不同行业的不同公司开发和发布可供其他组织使用的高级 IIC SMM 成熟度模型。