全球各產業在數位轉型之際,也面臨逐漸攀升的網路資安威脅。Arm就全球物聯網產業628 位決策者進行第一份 PSA 認證安全報告,針對物聯網的看法、做法、缺漏和可能性進行最新的全面研究,希望能真正了解所面臨的問題,以及未來還面臨哪些挑戰。
物聯網(IoT)的迅速崛起和普及為商品和服務的數位化轉型提供了龐大的機會。隨著全球連接數量的擴大,全球各產業無不積極擁抱數位轉型,但其中也包括了逐漸攀升的網路資安威脅。現在駭客有無數的新市場與應用領域吸引他們的目光,這為製造商和供應商帶來一系列新的風險,不僅會影響他們的聲譽,還會影響其荷包。
解決資安問題是關鍵,但市場上的設備缺乏基礎的資安以及最佳做法,來因應與日俱增的駭客攻擊、標準的碎片化,以及設備的快速出貨。當前資安的條件,與希望達到的理想狀態,之間存在很大的差距,這既是我們要面對與解決的挑戰,也是醞釀中的機會。
PSA 認證致力於在整個價值鏈中提供合作方式。如果大家按照共同的網路安全要求,就可以一起建構解決終端裝置碎片化、和改善連網設備安全性的道路。只有產業同心協力,才能共同解決資安漏洞,並達到一個更強大且數據大量連接的未來。
2020 年 11 月,Arm就全球 628 位(包括台灣的業者)IoT 產業的決策者,進行了第一份 PSA 認證安全報告,針對物聯網的看法、做法、缺漏和可能性進行最新的全面研究,希望能真正了解所面臨的問題,以及未來還面臨哪些挑戰。
問題及挑戰
在此調查中,我們發現業者在資安實作看法上的差距:61% 的受訪者認為他們在資安實作上一切妥當;現實情況是他們跳過了威脅建模、缺乏資源、陷於標準碎片化的環境,而且沒有使用第三方實驗室來驗證安全的強度。這些問題都未獲得妥善解決前,設備仍在繼續出貨,而且網路攻擊數量還在繼續上升。
業界對資安實作的興趣正在增加:大多數受訪者認可資安的必要性-它能提供產品與競爭對手的差異化。人們也越來越認識到信任根(ROT)是資安的基礎。「」
然而,不到一半(47%)的受訪者表示,他們在設計每種新產品時都會進行威脅分析;所以有逾半以上的受訪者是跳過最佳資安實作流程-這顯然是個大問題。小型公司進行威脅分析的比例更是低到 33% 。
48% 的受訪者認為,不同的標準和法規是最大的挑戰。另有 42% 的受訪者表示,他們對如何在其業務中進行資安實作缺乏瞭解或專業知識。小公司尤其掙扎(只有 33% 的公司對公司的安全專業知識感到滿意),這表明資安需要更普及,以便讓所有公司—無論其規模如何—都能實作資安解決方案。
圖一 : 在感知與安全實現的現實之間的差距顯而易見 |
|
資安成本仍是一大障礙:「投資報酬率不確定」和「缺乏贊同」占受訪者總數的 54%,他們表示不願意繼續投資在資安措施上。
84% 技術決策者對制定一套產業主導的指導方針和流程,以幫助構建 IoT 安全性表示興趣。
總結來看,促進連網設備產業的發展,包含資安領域的協作,以及導入類似 PSA 認證方式,將降低成本,減少重複工作,解決之前的資源錯置,為企業的先驅單位進行數位轉型。
項目分析
IoT 面臨的威脅
針對資安就緒性(Security Readiness),科技產業認為這個產業正處於轉型邊緣,但人們依舊擔心駭客將繼續瞄準新興設備市場所帶來的危險。在價值鏈中的每一步,都可以看到物聯網在未來幾年內將發生巨大變化(即使是那些傳統上發展較慢的行業)。然而,我們也看到了大家對資安措施的推出及其功能展現不同程度的信心,以及產業環境與自身看法稍有不同的落差。
此外,小型公司的資安能力與大公司相比存在差距,資安知識與資安實作之間的脫節也日益嚴重。隨著部署規模的擴大,壓力將會增加。
資安從來不是一個被解決的問題-而是一個持續的過程。產業界正在進行數位轉型,資安理應是這一變革過程中的基石:實施強有力的資安措施代表以技術為基礎的產品或服務,能夠自信地擴展出去,並且能夠帶來價值。但如果沒有足夠的安全性,業務將建立在不穩固的基礎上。
網路安全風險投資公司官方年度網路犯罪報告預測,到 2021 年網路犯罪造成的損失已經高達 6 萬億美元。同樣,賽門鐵克在 2020 年第一季度檢測到其蜜罐 IoT 設備受到近 1900 萬次攻擊,比上年同期增長了 13%。事實上,賽門鐵克在其《2019 年互聯網安全威脅報告》中估計,平均每月有 5400 次對物聯網設備的攻擊。
這個調查的最大發現之一—也許是最令人擔憂的—是受訪者對資安的看法和現實之間的區別。首先,60% 的被調查者認為他們的組織在 IoT 資安實作方面處於「領先地位」,而超過四分之三(77%)受訪者對公司內部的安全專業知識水準「相當」或「非常」滿意。若將這些數據與前面曾提到的不斷成長的駭客攻擊、以及持續出貨的設備一起來看,這的確令人擔憂。
儘管業者的「自我感覺」和現實之間存在差異,我們還是看到了一些正確的趨勢。首先,十分之九的受訪者表示,IoT 的增長對他們的業務至關重要,對 IoT 業務的企圖心有助於資安部署。在這群受訪中,運輸和物流部門的決策者尤其樂觀,大多數受訪者(95%)相信資安標準將在未來五年內有所提升。其次,他們對「信任根」一詞有更多的瞭解。若有人問起甚麼是信任根,有 84% 的人有把握能正確地定義它。
數位轉型的大趨勢助長了這樣的意識:
* 連網的數位裝置大規模增加,提供新的商業模式、效率和洞察。資安是數位轉型能否成功最需要克服的關鍵挑戰。生態系業者也都認可這個相當正面的跡象。
* 從我們的調查,大多數(67%)的受訪者認為資安很重要,這樣做是因為他們相信資安會為其產品與競爭對手提供差異化服務。
價值鏈的挑戰
為了彌合差距,我們需要瞭解形成障礙的挑戰。成本和碎片化-這兩個障礙都會影響威脅映射,以及應該在產品生命週期的哪個階段考量資安部署。
資安從來就不是個能夠創造更高產品價格的特色,這使得企業要為加強資安實作的主張變得困難。我們要知道:當單位成本可被盡可能地降低時,這個產業就會蓬勃發展。
對企業來說,因資安缺失的真正成本很難確定並預先制定預算,這使得要確定資安投資報酬率幾乎是不可能。
儘管大致上資安就緒性的趨勢是存在的,但對物聯網產業的威脅仍在增加,OEM 的安全能力並不總是符合他們自以為的狀態,因此在部署繼承資安基準線以保護免受最常見的駭客攻擊的產品方面,似乎仍然存在障礙。
執行安全部署的兩大障礙:成本與碎片化
圖三 : 您認為在物聯網安全方面最大的挑戰是什麼? |
|
先看成本問題:OEM 需要製造設備並將其出售以盈利,這意味著他們意識到要密切管理與設備相關的單位成本—無論是研發或用料。製造設備的每一刻都是有代價的,這包括資安。挑戰是,資安在傳統上並不被視為一項功能或特色,值得額外的投資。
這項調查結果證明,半數的受訪者認為額外成本是資安實作的最大障礙,42% 的受訪者表示前期的支出與研發成本,是資安實作上的大問題-它超過其他幾個也被列出的選項,包括資安事件對商譽的影響,以及經濟上的損失。
雖然大家都意識到資安的必要性,以及缺乏資安實作可能帶來的災難性的影響,但許多人仍在努力證明這項成本的合理性,或者在某些情況下能找到資金提供資源。這是我們需要克服的關鍵問題,需要以任何可能的方式普及資安實作,而非只保留給擁有雄厚資金的人才能部署。
來自台灣的受訪者(佔全球供應鏈的重要組成部分,約佔物聯網市場總量的 4.2%)提供了一個有趣的證明,顯示對資安實作造成額外成本的考量的受訪者比例最高(7%)。這裡再次提到的原因就是強調成本對決策的影響,可見傳統的 OEM 對每一分錢的想法,往往會降低資安的整體價值。
不過有五分之四的受訪者確實覺得「已有相當準備」要持續花費在工具和資源的安全性上,然而,這種持續支出往往也只能算補足一些前期安全規劃上的缺口。
訪查結果強調另一個主要障礙是標準的碎片化,48% 的受訪者認為這是最大的挑戰,而 42% 的受訪者則表示在他們在其所在的產業中,缺乏理解或專業知識。
隨著資安威脅的增加和更多的駭客攻擊的發生,政府和產業機構已設立了大量不同的指導方針,為「最佳實作安全」的真正含意提供了各種定義。不過這些指導方針與解決方案的增加,造成更碎片化的結果,一點不足為奇。此外,四成科技決策者中,有三成認為政府應該參與促成 IoT 安全的指導方針制定流程,表示歡迎政府參與,協助推動跨準則的一致性,減少碎片化。
對於該領域的製造商來說,評估不同的資安解決方案和方法需要大量時間,這會減緩產品開發和市場採用速度。為了彌合這一差距,通用語言和跨標準的統一方法將變得更加重要。
威脅建模的採用
如果你不知道你要防範什麼,怎麼知道你需要多少資安防護?為了設計安全性,開發人員和製造商應首先分析設備在預期應用中的使用方式,並記錄每個設備受到攻擊的方式。這是一個稱為威脅建模的過程。
此過程將可協助你決定你的資安強度需要多強,以及你需要做什麼措施來保護物聯網產品。它會決定你的設備的安全級別,代表不會浪費經費,或讓你的設備、企業組織或客戶曝露在不必要的風險中。
就算我們不斷提醒駭客攻擊的數字,在我們的調查中只有 47% 的人(不到一半),表示他們在設計每種新產品時都進行了威脅模型。以資安實作做為產品設計的重要元素,這個數字不算高,也許這就說明了為什麼駭客和漏洞如此常見。這是評估公司規模對駭客攻擊影響的另一個領域,再次說明普及化的必要性,以便進行最佳資安分析和實作。
雖然威脅建模的概念聽來簡單,但實際上它是一個複雜的過程,需要資安專業知識來執行。我們現在知道,在許多連網設備的生產過程中,威脅建模一直都被跳過。因此,檢視更多案例,以及接受更多這方面的培訓,是推動製造商落實 IoT 安全擴展的動力。
好消息是,大多數受訪者(86%)說,他們很可能會重新關注已經發佈的產品的威脅分析。對我們來說,這也許說明他們將因此重新評估其現有產品的協定。另外一層意義是,隨著 IoT 設備成為主流、成為更多嘗試攻擊的目標,早期的決策直到現在才會被重新評估。
彌合差距
該如何彌合這個差距?受訪者對兩件事的評價都很高:認證的作用和協作的重要性。認證為該產業提供了一種對其資安實作進行基準測試的方法,進而確保他們做正確的事—但相當高比例的受訪者沒有使用外部實驗室。第二個要素是協作,這是業內人士希望追求的,說明原始設備製造商和軟體供應商強烈希望一起解決成本和碎片化的問題。
建立在資安的共同基礎上,並一起實作安全措施,既減少前期費用,又節省長期成本。這些法規和標準的調整將使資安格局更普及,使資安最佳實作成為標準,進而促成產業得以擴大規模。
當我們考慮測試資安實作及其強度時,不同的公司有不同的戰略,可分為三類:內部評估、安全顧問或外部實驗室的評估。實際上,第三方評估應是首選,它為產品的完整性提供了額外的客觀衡量,並保證產品符合其衡量的資安標準或規範。
但回頭查看報告中的數據時,五分之三的受訪者(62%)說,他們的資安團隊在內部認證他們的資安實作,這指向一個獨立發展的,以及不同的、專有的解決方案市場。公司規模也是一個因素,在 50-249 家規模的公司中,利用外部實驗室測試的比例下降到 44%,而 5000-9999 名員工的大型公司的比例為 73%。再次凸顯了小型公司面臨的資安資源的差異。
這是令人擔憂的。我們需要確保被衡量的資安實作有多麼強韌,否則,你永遠無法真正知道你是否在做正確的事。這要追溯到報告最前面的部分,61% 的人認為他們在資安方面「一切妥當」—但如果沒有第三方的評估,永遠無法確定。
對於「協作、通用認證可以成為市場差異」的建議,93% 的受訪者做出了積極反應,而 85% 的受訪者表示對 IoT 安全進行產業協作和跨市場知識共享表達興趣。此外,84% 的技術決策者表示有興趣制定一套產業主導的指南和流程,以幫助構建 IoT 安全性。換句話說,科技決策者渴望採用標準化的方法,來彌合資安挑戰和安全期望之間的差距。
我們該如何彌合差距,找到解決關鍵挑戰的辦法?PSA 認證創始人對我們討論的兩個關鍵領域充滿熱情:實現資安普及化和減少碎片化。重點是找到統一的安全方法,幫助各種規模的公司實作資安基準線。PSA 認證方案,一直與更廣泛的生態系統進行合作,期待實現這一點。
(本文作者David Maidment 為Arm安全設備生態系統架構和技術組總監暨PSA Certified創始人)