我們越來越多地用舊式計算機之外的“智能”/連接設(shè)備填充家庭�,從恒溫器到安全系統(tǒng)甚至到廚房用具�����。企業(yè)在線提供一系列流程���,對象和空間���,以擴大智能服務(wù)的潛力�。物聯(lián)網(wǎng)(IoT)具有巨大的潛力�,但連接一切都有副作用:那就是增加漏洞。
我們必須考慮物聯(lián)網(wǎng)網(wǎng)絡(luò)安全的基本原則�����,以保護自己的個人隱私甚至企業(yè)安全����。其中最受關(guān)注的是“設(shè)計安全”概念和設(shè)備安全認證計劃。
物聯(lián)網(wǎng)設(shè)備安全101
保護物聯(lián)網(wǎng)設(shè)備的關(guān)鍵步驟包括以下幾種實踐:
執(zhí)行例行更新�����。制造商會不定期發(fā)布更新��,可以通過軟件改進產(chǎn)品的安全性����。一旦產(chǎn)品掌握在您的手中,快速安裝更新將有助于保護您免受最近發(fā)現(xiàn)的威脅���。但請記住�,不完美的更新可能會暴露新的安全漏洞�����。
控制訪問�。考慮是否需要連接到互聯(lián)網(wǎng)才能使用該設(shè)備���。如果您不需要連接�����,那么您只需授予對家庭網(wǎng)絡(luò)的訪問權(quán)限�����。
關(guān)閉通用即插即用功能��。UPnP是路由器��,相機����,打印機和其他設(shè)備的弱點�����。同時,安全的互操作性是物聯(lián)網(wǎng)的必要條件���。
改善密碼��。密碼必須要足夠長�����,并且最好是字母數(shù)字的����,以及避免重復(fù)��,尤其不要使用字典單詞和個人相關(guān)名稱����。許多設(shè)備目前都附帶了令人難以置信的可怕密碼,如“admin”和“password”����,因此請及時與您的硬件供應(yīng)商聯(lián)系,確保您的物聯(lián)網(wǎng)端點安全�����。
保護您的連接。使用專用網(wǎng)絡(luò)將設(shè)備連接到Internet時�,如果要提高穩(wěn)定性,請確保您使用適合設(shè)備類型�����。
設(shè)計安全與設(shè)計隱私
除了了解設(shè)備可以采取的幾個步驟之外���,選擇一個遵循設(shè)計安全性的制造商是有幫助的。設(shè)計安全性是硬件和軟件開發(fā)中的一系列原則��,側(cè)重于保護系統(tǒng)并降低潛在風(fēng)險���。遵循這些原則允許制造商知道他們正在保護用戶并遵守歐盟的通用數(shù)據(jù)保護法規(guī)(GDPR)�,使用此方法構(gòu)建的系統(tǒng)包含諸如遵守編碼最佳實踐����,實施身份驗證保護和部署連續(xù)測試等元素。
設(shè)計安全如此重要的關(guān)鍵原因是軟件通常首先考慮其功能��,安全性成為次要問題����,開發(fā)人員必須將安全漏洞作為持續(xù)關(guān)注而不是通過優(yōu)化安全性來構(gòu)建它����。通過設(shè)計安全��,您可以確定制造商正在有效且快速地修復(fù)安全問題�����。
設(shè)計安全性包含以下原則:
安全默認值�。以標準方式創(chuàng)建安全體驗。如果需要��,允許用戶刪除保護����。
正確修復(fù)安全問題。請注意設(shè)計模式����,這可能會在您嘗試修復(fù)代碼時引入回歸,需要測試所有相關(guān)應(yīng)用程序�。
保持安全簡單。代碼盡可能簡單����,這也更容易減少攻擊面積��。
深度防御原則�����。雖然只有一個控件可能是合理的����,但添加更多控件可以使您的防御更深����。
最小特權(quán)原則�。應(yīng)為帳戶提供最低可能的權(quán)限級別,以完成其業(yè)務(wù)功能�。
不要相信服務(wù)。您可以利用外部提供商進行處理����,但請記住,默認情況下���,服務(wù)不應(yīng)該受信任����。
通過隱藏避免安全。您不應(yīng)僅僅通過隱藏關(guān)鍵細節(jié)來嘗試保護關(guān)鍵數(shù)據(jù)��,但這是一個不充分的安全控制�。
職責分離。通常��,管理員不應(yīng)該是應(yīng)用程序的用戶���。
驗證失敗����。驗證您的代碼永遠不會以默認情況下使用戶成為管理員��。
盡量減少攻擊面積����。應(yīng)盡可能限制攻擊面積,所有功能都會增加風(fēng)險�����。
設(shè)計隱私是GDPR中的一個概念�,類似于設(shè)計的安全性����。設(shè)計隱私的兩個核心要素是:
默認情況下保護數(shù)據(jù)����。數(shù)據(jù)控制器應(yīng)該只在必要時存儲數(shù)據(jù),應(yīng)該只在必要的范圍內(nèi)處理數(shù)據(jù)���,并且只應(yīng)處理必要的特定數(shù)據(jù);
設(shè)計數(shù)據(jù)保護���。數(shù)據(jù)控制器應(yīng)通過實施假名和其他保護措施,盡可能限制個人數(shù)據(jù)的處理����。
尋找認證
雖然設(shè)計安全的原則有助于理解設(shè)備制造商的期望�����,但當您只需尋找遵循這些原則的認證時��,一切都變得更加簡單���。 ThingsCon和Mozilla提出了可信技術(shù)標志��,專注于安全和隱私��。 ThingsCon的分析師使用五個主要標準來衡量產(chǎn)品:
開放性����。是否生成或使用了開放數(shù)據(jù)?制造商和設(shè)備的流程是否開放����?
穩(wěn)定性??梢云诖裁礃拥纳芷冢吭O(shè)備有多穩(wěn)定�?
透明度。數(shù)據(jù)的使用方式和設(shè)備與消費者的溝通方式是什么�?
隱私。用戶權(quán)利是否受到尊重����?數(shù)據(jù)實踐是否具有領(lǐng)先優(yōu)勢?
安全�。安全實踐和保護是否反映了當前的環(huán)境?
另一個認證項目是網(wǎng)絡(luò)安全認證計劃���,來自愛立信和AT&T�。該系統(tǒng)收集有關(guān)物聯(lián)網(wǎng)威脅的信息并將其發(fā)送給設(shè)備制造商,允許這些公司及其開發(fā)人員快速發(fā)現(xiàn)和修復(fù)任何漏洞����。
保護物聯(lián)網(wǎng)
到2025年,根據(jù)麥肯錫�,物聯(lián)網(wǎng)每年將產(chǎn)生3.9萬億美元到11.1萬億美元的經(jīng)濟影響。然而�,這種巨大的回報也帶來了巨大的風(fēng)險。通過考慮上述最佳實踐����,并通過設(shè)計和認證計劃了解安全性,您可以更好地了解如何安全地推進物聯(lián)網(wǎng)項目或購買設(shè)備�����。
