贝恩:网络安全是释放物联网需求的关键 可使市场增长90亿至110亿美元

olivia chan

前瞻经济学人

(图片来源于网络)

物联网依旧呈快速增长态势,但对安全的担忧仍然是一个重要的障碍,这一点阻碍了物联网设备的采用速度(见图1)。

前瞻经济学人

事实上,贝恩公司所做的研究发现,如果企业客户对网络安全风险的担忧得到解决,他们愿意购买更多的物联网设备--他们所购买的设备至少比在安全风险担忧未解决的情况下平均要高出70%(参见图2)。另外,93%的受访高管表示,他们会为安全性更高的设备平均支付逾22%的费用。综合来看,贝恩估计,改善这些设备的安全解决方案可能会使物联网网络安全市场增加90亿至110亿美元。产生这种结果的一个原因可能是,欧盟(EU)《通用数据保护条例》(General Data Protection Regulation)等新法规加大了压力,该法规对企业的安全问题(包括数据泄露)提出了严格的数据保护要求和惩罚。

前瞻经济学人

这些是我们花费三年研究和调查工作的结果,包括与首席执行官、首席运营官、首席信息官、首席信息安全官以及其他商业和技术领袖就物联网安全和技术进行讨论。值得注意的是,拥有最先进网络安全能力公司的高管也是最关心安全风险的。

对于物联网设备供应商——制造物联网设备的公司以及提供相关解决方案的公司——传达了一条很明确的信息:提高安全性以获得竞争优势并扩大市场。

客户如何看待网络安全

我们调查的大多数高管(60%)表示,他们非常担心物联网设备给公司带来的风险——这并不奇怪,因为物联网安全漏洞可能会给运营、收入和安全造成损害。如果保护不力,物联网设备可以允许访问企业系统,导致大量数据被泄露。

受病毒感染的设备也可以被操控对企业发起攻击。2016年10月,Mirai恶意软件攻击破坏了数千个传感器、摄像头和其他设备,导致了一个庞大的僵尸网络,发起了分布式拒绝服务攻击,扰乱了包括GitHub、Netflix、Twitter和Airbnb在内的热门网站。在2018年1月,一种名为Okiru的Mirai病毒变体瞄准了嵌入在数十亿物联网产品中的流行版本的弧形处理器。被操控的物联网设备也可以进行点击欺诈,每年给广告商带来数十亿美元的损失。受损的设备也可以用来挖掘比特币和莫奈罗(monero)等加密货币。

在制定防范此类攻击的解决方案时,物联网设备供应商可以通过网络安全能力成熟度级别对目标客户进行细分。这样一个细分有助于根据客户需求确定使用不同的方案,反映了现实企业客户的能力不是静态的,而是正在向更高级的水平发展(见图3)。

前瞻经济学人

在各个领域,几乎所有的高管都表示,物联网设备对他们的组织构成了中度或重大风险,而那些网络安全级别较高的公司的高管认为,他们公司比那些网络安全能力较低的公司面临的风险更大(参见图4)。

前瞻经济学人

我们的研究还表明,某些行业的高管认为自己面临的风险比其他行业的高管更大(见图5)。耐用品,建筑和建造,能源和公用事业,金融服务和技术方面的高管的担忧可能尤为严重。 这些担忧反映了行业现实,而不仅仅是个别高管的看法。举例来说,在能源领域,石油和天然气生产商依靠数以万计的物联网传感器和复杂的生产控制设备在他们的油井和钻井平台上进行工作。能源公司使用这些物联网设备(这些设备平均每天可以超过1兆兆字节)的数据,在接近实时的情况下,可以微调操作,同时保持严格的安全阈值。完整性的破坏或中断数据流可能导致灾难性的破坏。

前瞻经济学人

近一半的医疗行业高管认为存在重大风险。医院和诊所越来越多地依赖从第三方采购组件的供应商提供联网诊断监控和护理设备。核磁共振成像、机器人辅助手术设备和药物输送泵都为未经授权的访问者提供了诱人的机会——但对病人安全造成明显威胁。2017年9月,美国工业控制系统网络应急响应小组发现了无线注射泵的漏洞,并警告说,如果不加以防范,这些漏洞可能对患者构成重大威胁。

制造商对物联网的使用也给工业环境带来了新的风险。大型制造商可能部署数以千计的物联网设备,包括从传感器到复杂的半自主机器人。受损的传感器可能会导致数据不准确,从而影响管理层做出关键的营运决策,或造成库存问题,对整个价值链造成严重破坏。更大的风险可能会出现在工厂层面,在那里,一个受损的机器人设备可能会引发细微但危险的活动,或者对工人和其他设备造成更大的破坏和伤害。

客户如何管理物联网网络安全

我们与管理网络安全的高管进行的对话表明,客户需要高效,易于集成和灵活部署的解决方案。公司根据其能力和供应商提供的可用的市场解决方案,采取一系列措施来满足其安全需求(参见图6)。 目前使用的物联网网络安全解决方案中,只有约三分之一来自物联网设备供应商,这表明供应商要么无法提供满足消费者需求的全面、高质量的解决方案,要么供应商不能很好地推广这些解决方案。 我们的研究发现,拥有最先进网络安全的公司更多地依赖于内部开发的安全解决方案,这不仅是因为他们可能有更复杂的需求,并且是因为他们更有可能具备开发自己解决方案的人才和能力。

前瞻经济学人

客户需求的脱节

我们还研究了企业如何按安全层次部署解决方案,并为物联网设备供应商在每一安全层级创造充足的机会。

我们的调查发现,访问接口层是需要保护的最高层级,无论是内部开发的还是由制造商或第三方提供的(参见图7)。客户对内部解决方案的偏好可以通过考虑每一层级的具体条件来逐一进行解释。

前瞻经济学人

例如,数据安全解决方案通常需要比目前在基本物联网设备上可用的计算和电力资源还要多。麻省理工学院的研究人员发明了一种新的芯片,可以在物联网设备上使用1/400的功率和1/10的内存进行加密,速度是当前芯片的500倍。但在这项新技术被广泛采用之前,制造商在权衡这些需求与物联网设备的规模、成本和力量时,需要继续进行设计和性能的权衡。

硬件安全解决方案必须解决物理接口(如USB或以太网端口)、设备操作系统和硬件上的漏洞。但是,很少有制造商在出厂前针对已知的漏洞对硬件进行充分的测试,而且缺乏特别多的设备对新的漏洞进行测试。

最后,IT安全操作必须管理和监视他们的物联网设备。虽然大多数企业希望拥有一套统一的工具和对设备安全状况的统一概述,但很少有物联网设备制造商能够很好地理解客户的需求,继而提供这种解决方案。尽管如此,他们仍然可以与客户合作,挑选值得信赖的第三方,作为开发全面安全解决方案的合作伙伴。

由于缺乏精心设计的物联网网络安全产品和服务,客户们正在设计自己的解决方案,完全放弃或不使用物联网解决方案,直到供应商能够填补这一空白。

物联网设备供应商可以通过什么来获得市场份额

为了提高物联网设备的安全性而迅速采取行动的物联网设备供应商和生态系统参与者,不仅可以通过他们的能力获得额外的收入,而且还能从扩大的市场中获得回报。物联网生态系统的一些领导者正在加紧应对安全挑战,抓住相关机遇。亚马逊已经创建了一个集成了物联网解决方案的生态系统。它最近授权了一个名为FreeRTOS的开源操作系统,使得该系统能够更容易开发、部署、管理和保护低耗能物联网设备,并借助函数库和工具对其进行加强,这些函数库和工具有助于物联网设备管理以及数据和网络安全。同样地,微软的Azure IoT Hub以设备供应、身份验证和安全连接的形式提供设备管理和安全功能。另一个例子是工业物联网设备制造商通用电气(GE),该公司将网络安全视为一种竞争优势。通用电气于2014年收购了Wurldtech,并最终将Achilles安全产品与Predix物联网管理平台集成在一起。从治理的角度来看,通用电气将风险管理和产品安全责任分配给其组织内的专门领导者,确保将网络安全放在首位。

这些努力取得了重要的进展,但仅凭它们本身不足以采用解决物联网所面临的更广泛的安全问题。在设备的设计、开发和部署中,所有物联网设备供应商都需要更加关注安全性。四个步骤可以帮助主管们制定他们的任务。

首先,制造商需要了解客户如何使用他们的设备。通过每12到18个月更新他们对客户用例的理解来跟上客户的需求,这将使他们能够掌握不断变化的安全需求,并帮助识别未满足的需求。确定客户的平均网络安全成熟度水平将有助于制造商投资于适当的解决方案。例如,临时成熟度客户倾向于寻找价值,而不是最新的、最好的解决方案。

第二,制造商应在设备上提供网络安全能力,并尽可能与值得信任的网络安全供应商合作,提供额外的解决方案。工程团队应该将安全开发实践根植于设备的软件和硬件组件中,并为访问接口、应用程序、数据和设备层提供固有的解决方案。大多数客户将使用这些“开箱即用”的功能,而不管它们的网络安全成熟度如何。采取这些措施可以减轻物联网设备中常见的漏洞,如默认密码或嵌入式密码、凭证和网络通信缺乏数据安全性,以及确保系统完整性的薄弱安全措施。制造商还可以投资与网络安全供应商的合作关系,在数据、网络和操作层提供售后解决方案,选择性地为某些细分市场的客户集成这些解决方案。例如,具有一致性安全性的客户往往倾向于集成解决方案,而最佳实践购买者则寻找最佳的解决方案,而非集成解决方案。

第三,制造商还需要满足质量保证标准,并能够证明他们的物联网设备没有已知的漏洞。对于那些有时安装新设备却没有意识到其中包含漏洞的客户来说,这将减轻他们的烦恼。部署一个更有条理的过程来识别和消除跨层级的漏洞,或者采用第三方漏洞扫描和渗透测试公司可以帮助制造商达到这一标准。定义一个具有明确义务的网络安全保修期,可以告诉客户该供应商的责任和期限。

最后,制造商可以在保修期内通过不断测试新的漏洞、提供更新的软件和固件、以及“开箱即用”和售后解决方案的功能来履行其义务。在整个保修期内,更新硬件、操作系统和应用程序以应对新发现的安全漏洞应该是首要任务。

这四个步骤只是一个开始,但并不是着手解决阻碍物联网的安全问题的全部所在。虽然物联网市场的增长似乎一定会继续大步前进,许多企业客户仍将继续谨慎行事,直到他们能够确保其数据以及日益依赖的设备、传感器和物联网的安全性。

可行性研究报告

广告、内容合作请点这里:寻求合作

咨询·服务

相关阅读

精彩推荐