我們?cè)絹碓蕉嗟赜门f式計(jì)算機(jī)之外的“智能”/連接設(shè)備填充家庭,從恒溫器到安全系統(tǒng)甚至到廚房用具。企業(yè)在線提供一系列流程,對(duì)象和空間,以擴(kuò)大智能服務(wù)的潛力。物聯(lián)網(wǎng)(IoT)具有巨大的潛力,但連接一切都有副作用:那就是增加漏洞。
我們必須考慮物聯(lián)網(wǎng)網(wǎng)絡(luò)安全的基本原則,以保護(hù)自己的個(gè)人隱私甚至企業(yè)安全。其中最受關(guān)注的是“設(shè)計(jì)安全”概念和設(shè)備安全認(rèn)證計(jì)劃。
物聯(lián)網(wǎng)設(shè)備安全101
保護(hù)物聯(lián)網(wǎng)設(shè)備的關(guān)鍵步驟包括以下幾種實(shí)踐:
執(zhí)行例行更新。制造商會(huì)不定期發(fā)布更新,可以通過軟件改進(jìn)產(chǎn)品的安全性。一旦產(chǎn)品掌握在您的手中,快速安裝更新將有助于保護(hù)您免受最近發(fā)現(xiàn)的威脅。但請(qǐng)記住,不完美的更新可能會(huì)暴露新的安全漏洞。
控制訪問??紤]是否需要連接到互聯(lián)網(wǎng)才能使用該設(shè)備。如果您不需要連接,那么您只需授予對(duì)家庭網(wǎng)絡(luò)的訪問權(quán)限。
關(guān)閉通用即插即用功能。UPnP是路由器,相機(jī),打印機(jī)和其他設(shè)備的弱點(diǎn)。同時(shí),安全的互操作性是物聯(lián)網(wǎng)的必要條件。
改善密碼。密碼必須要足夠長,并且最好是字母數(shù)字的,以及避免重復(fù),尤其不要使用字典單詞和個(gè)人相關(guān)名稱。許多設(shè)備目前都附帶了令人難以置信的可怕密碼,如“admin”和“password”,因此請(qǐng)及時(shí)與您的硬件供應(yīng)商聯(lián)系,確保您的物聯(lián)網(wǎng)端點(diǎn)安全。
保護(hù)您的連接。使用專用網(wǎng)絡(luò)將設(shè)備連接到Internet時(shí),如果要提高穩(wěn)定性,請(qǐng)確保您使用適合設(shè)備類型。
設(shè)計(jì)安全與設(shè)計(jì)隱私
除了了解設(shè)備可以采取的幾個(gè)步驟之外,選擇一個(gè)遵循設(shè)計(jì)安全性的制造商是有幫助的。設(shè)計(jì)安全性是硬件和軟件開發(fā)中的一系列原則,側(cè)重于保護(hù)系統(tǒng)并降低潛在風(fēng)險(xiǎn)。遵循這些原則允許制造商知道他們正在保護(hù)用戶并遵守歐盟的通用數(shù)據(jù)保護(hù)法規(guī)(GDPR),使用此方法構(gòu)建的系統(tǒng)包含諸如遵守編碼最佳實(shí)踐,實(shí)施身份驗(yàn)證保護(hù)和部署連續(xù)測(cè)試等元素。
設(shè)計(jì)安全如此重要的關(guān)鍵原因是軟件通常首先考慮其功能,安全性成為次要問題,開發(fā)人員必須將安全漏洞作為持續(xù)關(guān)注而不是通過優(yōu)化安全性來構(gòu)建它。通過設(shè)計(jì)安全,您可以確定制造商正在有效且快速地修復(fù)安全問題。
設(shè)計(jì)安全性包含以下原則:
安全默認(rèn)值。以標(biāo)準(zhǔn)方式創(chuàng)建安全體驗(yàn)。如果需要,允許用戶刪除保護(hù)。
正確修復(fù)安全問題。請(qǐng)注意設(shè)計(jì)模式,這可能會(huì)在您嘗試修復(fù)代碼時(shí)引入回歸,需要測(cè)試所有相關(guān)應(yīng)用程序。
保持安全簡單。代碼盡可能簡單,這也更容易減少攻擊面積。
深度防御原則。雖然只有一個(gè)控件可能是合理的,但添加更多控件可以使您的防御更深。
最小特權(quán)原則。應(yīng)為帳戶提供最低可能的權(quán)限級(jí)別,以完成其業(yè)務(wù)功能。
不要相信服務(wù)。您可以利用外部提供商進(jìn)行處理,但請(qǐng)記住,默認(rèn)情況下,服務(wù)不應(yīng)該受信任。
通過隱藏避免安全。您不應(yīng)僅僅通過隱藏關(guān)鍵細(xì)節(jié)來嘗試保護(hù)關(guān)鍵數(shù)據(jù),但這是一個(gè)不充分的安全控制。
職責(zé)分離。通常,管理員不應(yīng)該是應(yīng)用程序的用戶。
驗(yàn)證失敗。驗(yàn)證您的代碼永遠(yuǎn)不會(huì)以默認(rèn)情況下使用戶成為管理員。
盡量減少攻擊面積。應(yīng)盡可能限制攻擊面積,所有功能都會(huì)增加風(fēng)險(xiǎn)。
設(shè)計(jì)隱私是GDPR中的一個(gè)概念,類似于設(shè)計(jì)的安全性。設(shè)計(jì)隱私的兩個(gè)核心要素是:
默認(rèn)情況下保護(hù)數(shù)據(jù)。數(shù)據(jù)控制器應(yīng)該只在必要時(shí)存儲(chǔ)數(shù)據(jù),應(yīng)該只在必要的范圍內(nèi)處理數(shù)據(jù),并且只應(yīng)處理必要的特定數(shù)據(jù);
設(shè)計(jì)數(shù)據(jù)保護(hù)。數(shù)據(jù)控制器應(yīng)通過實(shí)施假名和其他保護(hù)措施,盡可能限制個(gè)人數(shù)據(jù)的處理。
尋找認(rèn)證
雖然設(shè)計(jì)安全的原則有助于理解設(shè)備制造商的期望,但當(dāng)您只需尋找遵循這些原則的認(rèn)證時(shí),一切都變得更加簡單。 ThingsCon和Mozilla提出了可信技術(shù)標(biāo)志,專注于安全和隱私。 ThingsCon的分析師使用五個(gè)主要標(biāo)準(zhǔn)來衡量產(chǎn)品:
開放性。是否生成或使用了開放數(shù)據(jù)?制造商和設(shè)備的流程是否開放?
穩(wěn)定性。可以期待什么樣的生命周期?設(shè)備有多穩(wěn)定?
透明度。數(shù)據(jù)的使用方式和設(shè)備與消費(fèi)者的溝通方式是什么?
隱私。用戶權(quán)利是否受到尊重?數(shù)據(jù)實(shí)踐是否具有領(lǐng)先優(yōu)勢(shì)?
安全。安全實(shí)踐和保護(hù)是否反映了當(dāng)前的環(huán)境?
另一個(gè)認(rèn)證項(xiàng)目是網(wǎng)絡(luò)安全認(rèn)證計(jì)劃,來自愛立信和AT&T。該系統(tǒng)收集有關(guān)物聯(lián)網(wǎng)威脅的信息并將其發(fā)送給設(shè)備制造商,允許這些公司及其開發(fā)人員快速發(fā)現(xiàn)和修復(fù)任何漏洞。
保護(hù)物聯(lián)網(wǎng)
到2025年,根據(jù)麥肯錫,物聯(lián)網(wǎng)每年將產(chǎn)生3.9萬億美元到11.1萬億美元的經(jīng)濟(jì)影響。然而,這種巨大的回報(bào)也帶來了巨大的風(fēng)險(xiǎn)。通過考慮上述最佳實(shí)踐,并通過設(shè)計(jì)和認(rèn)證計(jì)劃了解安全性,您可以更好地了解如何安全地推進(jìn)物聯(lián)網(wǎng)項(xiàng)目或購買設(shè)備。