物聯(lián)網(wǎng)廠商提高安全性的八條途徑
譯文有許多方法可以提高物聯(lián)網(wǎng)設(shè)備的安全性,而這一切始于物聯(lián)網(wǎng)廠商。
這是在線信任聯(lián)盟(OTA)在家庭和可穿戴技術(shù)方面開展的研究得出的調(diào)查結(jié)果之一。
OTA發(fā)現(xiàn),如果廠商遵循該組織新頒布的物聯(lián)網(wǎng)信任框架里面概述的安全和隱私準(zhǔn)則,就算無法避免物聯(lián)網(wǎng)設(shè)備所有報(bào)告上來的安全漏洞,至少可以避免其中的許多漏洞。
OTA的執(zhí)行董事兼總裁克雷格·斯皮澤勒(Craig Spiezle)表示,由于急于向市場推出產(chǎn)品,物聯(lián)網(wǎng)廠商常常忽視安全和隱私。物聯(lián)網(wǎng)信任框架概述了31條原則,設(shè)備制造商、開發(fā)人員和決策者可以遵循這些原則,提高物聯(lián)網(wǎng)設(shè)備的安全性。
斯皮澤勒說:“我們還認(rèn)為,***信息安全官應(yīng)該留意這套框架,尤其是由于更多的人將物聯(lián)網(wǎng)設(shè)備從家里帶到工作場所。”他補(bǔ)充道,與設(shè)備制造商和應(yīng)用程序開發(fā)人員一樣,各大零售商、美國房地產(chǎn)經(jīng)紀(jì)人協(xié)會(huì)和風(fēng)險(xiǎn)投資基金都表示有興趣采用物聯(lián)網(wǎng)框架原則。
根據(jù)對(duì)斯皮澤勒所作的采訪,下面這八點(diǎn)有助于讀者了解物聯(lián)網(wǎng)信任框架。
1. 限制和保護(hù)登錄信息訪問。
廠商發(fā)布的產(chǎn)品其登錄信息管理往往不安全,包括采用了敞開、容易發(fā)現(xiàn)的管理控制機(jī)制。如果限制特權(quán)用戶和一般用戶的訪問,他們就能更有效地保護(hù)和鎖定管理控制機(jī)制。
2. 明確公布消費(fèi)者數(shù)據(jù)收集和共享方面的政策及做法。
公司需要清楚地表明什么數(shù)據(jù)可以與第三方或其他業(yè)務(wù)合作伙伴共享。許多物聯(lián)網(wǎng)公司是初創(chuàng)公司,非常忙碌,也沒有注重隱私的觀念。要明確公布什么數(shù)據(jù)在共享,這可以減少誤解。
3. 運(yùn)行滲透測(cè)試。
在整個(gè)開發(fā)過程中加入嚴(yán)格的安全測(cè)試。這可能包括滲透測(cè)試和威脅建模。斯皮澤勒表示,如今這些服務(wù)和工具唾手可得。他談?wù)摰牟皇菑?fù)雜的逆向工程,而是可以檢測(cè)安全漏洞的基準(zhǔn)線測(cè)試。
4. 確定一種易于使用的溝通途徑。
有些情況下,第三方、學(xué)者或顧問發(fā)現(xiàn)了產(chǎn)品中的安全漏洞,但物聯(lián)網(wǎng)公司沒有一種簡單的方法來獲得這些信息。無論是在網(wǎng)站上制作一份表單,還是開設(shè)簡單的電子郵件地址,要?dú)g迎這類第三方告知安全漏洞信息。
5. 制定更安全的配對(duì)控制措施。
低端物聯(lián)網(wǎng)設(shè)備常常會(huì)連接到它能找到的信號(hào)***的那個(gè)網(wǎng)絡(luò)。開發(fā)人員需要融入配對(duì)控制措施,確保設(shè)備連接到用戶指定的那個(gè)網(wǎng)絡(luò)。這種問題在多個(gè)無線網(wǎng)絡(luò)漫游的公寓樓或排屋里面會(huì)成為問題。
6. 測(cè)試查找常見的代碼注入漏洞。
從許多方面來看,這一點(diǎn)可以作為本文第3點(diǎn)的附加部分,但是物聯(lián)網(wǎng)公司需要測(cè)試、查找已知的安全漏洞和弱點(diǎn)。一旦產(chǎn)品投入使用,這么做可以減少潛在的安全問題。
7. 牢牢鎖定數(shù)據(jù)傳輸和存儲(chǔ)。
許多物聯(lián)網(wǎng)產(chǎn)品存在的另一個(gè)問題是,產(chǎn)品缺乏傳輸安全和加密存儲(chǔ)。比如說,依賴藍(lán)牙的物聯(lián)網(wǎng)設(shè)備使用的用戶名和密碼在傳輸過程中是公開暴露的。物聯(lián)網(wǎng)廠商就需要確保數(shù)據(jù)已經(jīng)過了加密處理,那樣當(dāng)設(shè)備連接到其他設(shè)備,或者用戶將傳輸?shù)臄?shù)據(jù)存儲(chǔ)在iPhone或iPad其他設(shè)備上時(shí),數(shù)據(jù)不會(huì)暴露。
8. 制定生命周期支持計(jì)劃。
由于急不可待地發(fā)布產(chǎn)品,許多物聯(lián)網(wǎng)公司忘了為產(chǎn)品的生命周期制定支持計(jì)劃。這包括補(bǔ)丁更新,產(chǎn)品主人易手后提供支持計(jì)劃,或者在產(chǎn)品生命周期結(jié)束后禁用產(chǎn)品。
原文鏈接:http://www.darkreading.com/8-ways-iot-manufacturers-can-improve-security/d/d-id/1326856
