聚焦IoT關鍵風險，騰訊安全攜手20名CSO探尋安全共建思路

智能掃地機器人、聯(lián)網(wǎng)的咖啡機、可以遠程控制的汽車。。。隨著越來越多的物聯(lián)網(wǎng)(IoT)設備走進消費者身邊，萬物互聯(lián)漸成現(xiàn)實。在給消費者帶來便利的同時， IoT設備等安全和隱私問題也引發(fā)了廣泛關切。不止是在消費場景，工業(yè)、農(nóng)業(yè)、能源、零售等等眾多關系到國計民生的領域，物聯(lián)網(wǎng)也作為重要的數(shù)字化工具，正在加速落地。同樣需要關注的是，IoT設備一旦聯(lián)網(wǎng)，安全風險也將隨之而來，企業(yè)的生產(chǎn)運營、品牌聲譽都將面臨更嚴峻的挑戰(zhàn)。

3月27日，騰訊安全CSO俱樂部邀請中國信通院、南方電網(wǎng)、華為、廣汽、比亞迪、榮耀、OPPO、VIVO等領軍企業(yè)的二十多位首席安全官(CSO)、研發(fā)主管齊聚深圳，共同探討IoT時代的安全體系建設，尋找企業(yè)可以借鑒的IoT安全能力圖譜。

(中國信息通信研究院安全研究所主任 柯皓仁)

中國信息通信研究院安全研究所柯皓仁主任從“管”、“服”協(xié)同的角度，分享了他對數(shù)字時代下的IoT安全破局的思考?？吗┤收J為，在我國的消費互聯(lián)網(wǎng)發(fā)展歷程中，網(wǎng)絡安全頂層設計落后于應用發(fā)展。但在產(chǎn)業(yè)互聯(lián)網(wǎng)的落地發(fā)展進程中，應同步、甚至提前進行網(wǎng)絡安全規(guī)劃設計，保障產(chǎn)業(yè)互聯(lián)網(wǎng)安全發(fā)展。

具體到物聯(lián)網(wǎng)安全的建設，柯皓仁提出六點建議：一是明確基線。對于物聯(lián)網(wǎng)的應用來講，不同安全應用的場景去提出不同安全級別的安全防護基本要求。二是摸清底數(shù)。主管部門要摸清重要企業(yè)清單和重要數(shù)據(jù)保護目錄，應用企業(yè)要摸清自身物聯(lián)網(wǎng)應用的相關保護對象與資產(chǎn)情況。三是重點突破。針對重點行業(yè)、重點企業(yè)開展相關安全能力評估與能力提升。四是示范推廣。在C端和B端按不同的要求推進，C端側重隱私保護計劃與能力示范，B端側重企業(yè)貫標要求示范。五是基礎能力。物聯(lián)網(wǎng)本身平臺終端比較多，所以應形成多種類平臺、終端的基礎資源庫，包括對應的安全漏洞庫建立。六是機制建立。應鼓勵企業(yè)去建立包括監(jiān)測預警、信息共享、協(xié)同處置等在內的整個安全閉環(huán)的工作機制，去形成管理閉環(huán)。

(行業(yè)資深CSO 周智堅)

行業(yè)資深CSO周智堅從信息安全產(chǎn)業(yè)的發(fā)展歷程，分析了安全的過去，現(xiàn)在和未來的IOT供應鏈安全。根據(jù)歐洲相關IoT安全準則的風險描述，周智堅將IoT供應鏈安全風險概括為物理攻擊、知識產(chǎn)權損失、惡意活動和濫用、法律要求、非惡意損失及信息丟失5大領域，和相應的9個風險點。他認為，IOT供應鏈安全可以從參與者、流程、技術3個安全關注點，29條安全改善措施出發(fā)，站在IoT業(yè)務邏輯圖的角度，把IoT業(yè)務分成IoT設備、IoT網(wǎng)關、IoT平臺、IoT應用、業(yè)務運營五個模塊，而IoT供應鏈安全的可能解決方案可以概括為：IoT設備安全+一句話安全+安全ERP+N個安全產(chǎn)品。

對于不同主體的安全能力建設，周智堅建議，對于甲方安全的負責人，做好了現(xiàn)階段的安全1+1+N，就可以從容應對IoT供應鏈安全。對于其他安全技術人員，攻擊滲透促進安全建設的邏輯未來一樣有效，應多了解和發(fā)現(xiàn)IoT供應鏈上的安全漏洞和風險。安全廠商可以從IoT設備安全質量評級、IoT設備安全質量自動檢測工具、業(yè)務過程中的安全ERP及數(shù)據(jù)分析平臺等方向發(fā)力。

(騰訊安全技術專家 張康)

騰訊安全技術專家張康在會上分享了騰訊安全科恩實驗室的物聯(lián)網(wǎng)攻防實踐。他認為，碎片化嚴重、缺乏威脅檢測方法、更新緩慢以及隱私保護，是物聯(lián)網(wǎng)面臨的主要風險挑戰(zhàn)。

從技術角度來說，任何一個場景，不管IoT還是物聯(lián)網(wǎng)，最小權限、系統(tǒng)默認、保持更新、縱深防御，這些信息安全的原則永遠不會過時。

張康認為，如果把安全基本原則做好了，系統(tǒng)就已經(jīng)處在相對比較高的安全等級。同時，結合一些漏洞掃描、檢測的自動化工具應用到安全開發(fā)流程中，可以進一步提升安全能力。他介紹了騰訊安全研發(fā)的嵌入式系統(tǒng)安全審計平臺sysAuditor。作為一款自動化檢測工具，sysAuditor沉淀了科恩實驗室的滲透測試經(jīng)驗，可以幫助企業(yè)實現(xiàn)國家、行業(yè)、企業(yè)自身多個層面的安全基線合規(guī)，檢測結果以API的形式輸出，可以與現(xiàn)有平臺集成。

在分組討論環(huán)節(jié)，與會嘉賓就產(chǎn)業(yè)實踐中關注的IoT風險點、與業(yè)務場景的關聯(lián)、安全需求與資源的矛盾以及物聯(lián)網(wǎng)安全的未來趨勢等議題展開深入討論，探討IoT安全治理與安全運營所需的能力圖譜。

(參會嘉賓就IoT安全能力建設展開深入討論)

萬物互聯(lián)，安全先行。在物聯(lián)網(wǎng)即將加速滲透的關鍵階段，安全無疑是需要提前打好的“地基”。通過騰訊安全CSO俱樂部沙龍搭建的交流平臺，物聯(lián)網(wǎng)廠商與安全廠商得以深入交流彼此關切，分享實踐經(jīng)驗，從不同視角探索IoT安全建設的可行路徑，從而達到“眾行者遠”的效果。

近年來，為解決物聯(lián)網(wǎng)的安全痛點，騰訊相繼發(fā)布了騰訊物聯(lián)網(wǎng)安全技術規(guī)范，以及sysAuditor等物聯(lián)網(wǎng)安全檢測工具，助力物聯(lián)網(wǎng)產(chǎn)業(yè)安全、穩(wěn)健發(fā)展。未來，騰訊安全將繼續(xù)借助CSO俱樂部等交流平臺，與產(chǎn)業(yè)保持深度互動，共建繁榮的物聯(lián)網(wǎng)產(chǎn)業(yè)生態(tài)。

（免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產(chǎn)權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。 ）