除了資訊的產生之外,物聯網(IoT)物件還具有改變環境狀態的力量,這使企業資安長(CISO)在現有職責以外,必須重新定義資安工作的範疇。由於支援平台、服務規模、多樣性與功能都將出現變化,Gartner預測至2020年,全球將有逾半數企業的資安方案必須重新設計或擴大規模,以因應物聯網資安需求。
物聯網正在重新劃定企業IT職責的界線,其具備改變四周環境狀態的能力,甚至能改變自身狀態;舉例來說,當感測器判定室內溫度過低,物聯網物件即會自動提升室內溫度。為保護物聯網物件的安全,傳統資安的防護範圍必須擴大,以因應各種新型商業使用案例新增的識別、感測與溝通裝置。
商業使用案例固然日新月異,其中涉及的技術與服務卻多半不新奇。每個使用案例的風險概況(risk profile)有特定需求,可能須使用舊有平台與服務架構,搭配新技術「覆蓋」(overlay)以改善效能與管控。
企業資安長為物聯網提供資安服務時,將面臨一項極為有趣的挑戰。當他們為整體性的物聯網商業使用案例,針對大型主機(Mainframe)、客戶/伺服器、網路、雲端和行動等資安進行評估時,有時可能仍須採用過時的技術。即使是Windows XP這類已終止支援的系統,也可能在部分產業基礎建設中扮演要角,並成為物聯網資安系統的一部份。
因此,資安長不該自行假設既有的資安技術與服務必須汰換,而是評估整合新舊資安解決方案的可能性。許多傳統資安產品與服務供應商已擴大既有產品組合,針對嵌入式系統與機器對機器的通訊提供基本支援。
目前物聯網資安尚無準則可供參考,不過物聯網既有的特點是,應用在這些使用案例上的裝置技術與服務,組合方式之數量相當驚人。物聯網物件的構成仍在爭論中,所以物聯網資安其實是「活動目標」。而資安長仍可建立一套過渡性質的規劃策略,利用現有「由下而上」(bottom-up)的方式確保物聯網資安。
在各種處理模式與解決方案萌芽之際,資安長應拒絕誘惑,切忌在資安規劃方面過度思考。應從簡單的開始做起,以特定商業使用案例中特定物聯網互動模式為基礎,開發初步的資安方案。然後再以這些使用案例的經驗為基礎,打造適用於未來的資安部署情境、核心架構基礎和驗證中心(Competency Center)。
物聯網資安的需求將會相當複雜,迫使資安長利用行動、雲端架構等各種方法,結合工業控制、自動化與實體資安工具。所幸資安長對於許多物聯網資安需求相當熟悉,因為過去數十年間用來保護不同世代運算工具的技術與服務,仍將適用於大部分案例。
(本文作者現任Gartner研究副總裁)