东方联盟 东方联盟郭盛华：物联网安全是供应链问题

近日，知名白帽黑客、东方联盟创始人佛山市东联科技有限公司总裁兼CEO郭生华公开表示:“大部分企业都没有搭建自己的物联网系统。很少有组织能够在自己的环境中开发和部署自己的物联网设备，并且硬件通常是专用的。大多数软件看起来不像他们的Java开发人员用来编写代码的东西。对于这样的高风险项目，只有足够的价值是不合理的。因此，企业倾向于购买消费类物联网设备，并将其佩戴到企业安全架构中。正确地适应它们可能是一个挑战。这并不意味着企业在面对物联网安全风险时会束手无策，但确实让企业物联网安全成为供应链问题。”

无法解决这些问题的风险和后果

物联网设备和系统代表了其他企业的攻击面，这与允许用户为移动设备“自带设备”是一样的。这些设备使组织面临与部署在公司网络上的其他设备相同类型的风险。物联网设备的安全漏洞可能导致设备被接管，敏感数据被暴露，为攻击者发动其他攻击提供了企业网络的立足点。

此外，这些物联网系统往往会传输大量敏感数据，包括机密和专有信息以及与隐私相关的信息。这些数据将离开企业防火墙，由物联网系统提供商托管的服务进行处理，这将为企业理解这些物联网系统如何影响其风险状况带来负担。

物联网中评估和管理第三方风险的最佳实践

作为供应商整体风险管理计划的一部分，必须以结构化的方式处理第三方风险。新的物联网系统将部署在企业网络上，处理敏感的企业信息，需要贯穿审计过程，让组织了解风险暴露的变化。该流程可以共享标准供应商风险管理程序的许多相同功能，但可能需要扩展以解决物联网系统引起的一些特定问题。因为这些系统将专用硬件与潜在的非标准操作系统相结合，所以它们特别关注与升级实践和支持生命周期相关的问题。

什么是物联网，这些设备及其支持服务的安全特性是什么？

物联网风险的第三方风险管理计划应涵盖对物联网系统要访问的数据的保密性、完整性和可用性的标准关注。如果物联网系统要访问数据以使其符合任何合规性或监管法律，它可能会增加评估要求。

东方联盟的郭生华也透露:“很多IoT系统部署后可能很难升级，即使不是不可能。因此，第三方风险管理计划需要跟踪随着时间的推移更新发现并希望解决缺陷的物联网系统的能力。”

现有框架和标准

物联网安全有一些新兴标准，但没有一个对整个行业有重大影响。OWASP物联网项目可以清晰地了解物联网设备，为消费者、企业和工业用户以及相关服务组织的安全问题连接了许多宝贵的资源。包括十大风险清单、安全测试方法、测试实践中存在缺陷的系统实例等资料。

最后的结论

由于大多数企业都没有构建自己的物联网系统，企业物联网带来的风险很大程度上是供应链问题。希望在企业环境中利用物联网系统潜在优势的组织将得到很好的服务，他们可以在收购过程中开始评估这种第三方风险，从而最好地预测和解决与他们正在寻找的物联网系统相关的安全风险采用。