想采購(gòu)物聯(lián)網(wǎng)設(shè)備?你得先看一下這個(gè)自檢表
現(xiàn)在,很多公司都希望尋求物聯(lián)網(wǎng)來(lái)提高產(chǎn)品競(jìng)爭(zhēng)力,用來(lái)超越對(duì)手或者提高產(chǎn)品利潤(rùn)。在一些市場(chǎng)營(yíng)銷(xiāo)宣傳影響下,人們可能會(huì)相信自己需要一個(gè)能在回家前5分鐘把水燒開(kāi)的智能水壺,這樣就可以在進(jìn)門(mén)后幾分鐘內(nèi)喝上一杯熱茶……
根據(jù)研究機(jī)構(gòu)Gartner公司的報(bào)告,到2020年,大約有208億個(gè)物聯(lián)網(wǎng)設(shè)備可以連接到互聯(lián)網(wǎng),隨著無(wú)所不在的成本更低的傳感器的處理能力提高,以及帶寬的推動(dòng),每天將增加約550萬(wàn)個(gè)設(shè)備。此外,到2020年,一半以上的主要新業(yè)務(wù)流程和系統(tǒng)將納入物聯(lián)網(wǎng)的一些要素。
如果說(shuō)您也正在考慮采購(gòu)物聯(lián)網(wǎng)設(shè)備,有些因素你需要慎重考慮一下。
1. 購(gòu)買(mǎi)前
(1) 制造商是否可靠?他們有能力在產(chǎn)品的整個(gè)生命周期內(nèi)維持運(yùn)營(yíng)嗎?
如果你希望自己部署的產(chǎn)品能夠?yàn)槠髽I(yè)服務(wù)5-10年,但是提供該產(chǎn)品的公司連一年都維持不了就消失了,那還談什么售后保障呢!
(2) 該產(chǎn)品是同類(lèi)產(chǎn)品中的首創(chuàng),還是與其他產(chǎn)品存在競(jìng)爭(zhēng)關(guān)系?
這個(gè)問(wèn)題的關(guān)鍵在于,有些公司會(huì)選擇犧牲一些東西,以便率先進(jìn)入市場(chǎng),而最典型地犧牲內(nèi)容之一就是產(chǎn)品安全性。
(3) 產(chǎn)品供應(yīng)商發(fā)布更新的頻率如何?
如果一件產(chǎn)品已經(jīng)面市了多年,但卻尚未發(fā)布過(guò)任何更新,你可能需要詢(xún)問(wèn)其供應(yīng)商是否切實(shí)地維護(hù)過(guò)其產(chǎn)品。
(4) 固件是自動(dòng)更新還是需要手動(dòng)干預(yù)?
雖然你可能希望對(duì)某些關(guān)鍵任務(wù)設(shè)備進(jìn)行手動(dòng)更新控制,但是有些產(chǎn)品可能無(wú)法實(shí)現(xiàn)這種部署方式,因此,預(yù)先了解自身對(duì)正在運(yùn)行的軟件版本的控制程度十分重要。
(5) 產(chǎn)品中是否存在已報(bào)告的漏洞?
如果供應(yīng)商發(fā)布有關(guān)產(chǎn)品漏洞的公告,不要將其視為“壞事”。因?yàn)闆](méi)有產(chǎn)品是完全安全的,重要的是要看供應(yīng)商對(duì)漏洞的態(tài)度和響應(yīng)行為。真正令人擔(dān)憂的是那些對(duì)漏洞信息毫無(wú)反應(yīng),甚至試圖掩蓋關(guān)鍵漏洞的供應(yīng)商。
(6) 供應(yīng)商是否已設(shè)立安全頁(yè)面?
該頁(yè)面應(yīng)該包含過(guò)去出現(xiàn)過(guò)的安全問(wèn)題、更新和聯(lián)系信息。如果他們的網(wǎng)站上不存在任何形式的安全內(nèi)容和聯(lián)系人,那么該供應(yīng)商顯然是不過(guò)關(guān)的。
2. 購(gòu)買(mǎi)后30天內(nèi)
(1) 如果設(shè)備包含接入點(diǎn)(簡(jiǎn)稱(chēng)AP),則應(yīng)檢查AP是否未打開(kāi)。
很多產(chǎn)品多年來(lái)都忽略了這一點(diǎn)(未曾打開(kāi)AP),結(jié)果在從無(wú)線網(wǎng)絡(luò)中取消認(rèn)證時(shí),就會(huì)創(chuàng)建一個(gè)開(kāi)放的、不安全的無(wú)線接入點(diǎn)。
對(duì)此進(jìn)行測(cè)試的方法很簡(jiǎn)單,就是將設(shè)備與無(wú)線網(wǎng)絡(luò)關(guān)聯(lián),然后拔下無(wú)線網(wǎng)絡(luò)約10分鐘。如果你看到自己的設(shè)備隨AP出現(xiàn)在移動(dòng)設(shè)備上,則說(shuō)明它并未打開(kāi)。
(2) 任何相關(guān)的云接口有多強(qiáng)大?
接口是否允許單點(diǎn)登錄?它是否允許多因素身份驗(yàn)證?重要的是,您使用的任何Web界面都要能夠提供安全性,讓您高枕無(wú)憂。
(3) 哪些數(shù)據(jù)在云端傳輸(進(jìn)來(lái)/出去)?
你是否知道正通過(guò)新的IoT設(shè)備離開(kāi)網(wǎng)絡(luò)的是哪些數(shù)據(jù)?該設(shè)備允許進(jìn)入您網(wǎng)絡(luò)的流量又是多少?
(4) 實(shí)際更新固件有多容易/困難?
在采購(gòu)設(shè)備之前,您通常已經(jīng)了解了固件更新是手動(dòng)還是自動(dòng)的。但是,您無(wú)法確認(rèn)安裝過(guò)程中涉及的步驟。我傾向于支持允許單鍵升級(jí)的應(yīng)用程序,而不是冗長(zhǎng)乏味的手動(dòng)更新過(guò)程。
(5) 接口是否足夠安全?
如果您能夠確認(rèn)下述信息那就更好了:它是否需要對(duì)關(guān)鍵操作進(jìn)行身份驗(yàn)證?您的本地網(wǎng)絡(luò)上是否存在不需要憑據(jù)的開(kāi)放API?憑據(jù)是以純文本形式發(fā)送的嗎?
(6) 完成端口掃描
非常重要的一點(diǎn)是,您需要了解清楚在您的網(wǎng)絡(luò)上哪些服務(wù)是開(kāi)放的,以及哪些服務(wù)正在竊聽(tīng)您的網(wǎng)絡(luò)行為。
(7) 書(shū)寫(xiě)評(píng)論
我認(rèn)為,大多數(shù)產(chǎn)品評(píng)論根本毫無(wú)用處。他們要么是付費(fèi)評(píng)論員,沒(méi)有真正地使用過(guò)產(chǎn)品;要么就是缺乏提供有效技術(shù)意見(jiàn)的能力。您可以用簡(jiǎn)單地文字撰寫(xiě)產(chǎn)品評(píng)論,描述清楚產(chǎn)品的利弊,討論產(chǎn)品的安全性,為潛在購(gòu)買(mǎi)者提供有效的信息。
3. 深度自檢表
(1) 審核設(shè)備固件
如果您不確定從哪里開(kāi)始,有一些課程可以幫助您解決這個(gè)問(wèn)題。它可以提供一種很好的機(jī)制來(lái)查找和識(shí)別漏洞。
(2) 審核設(shè)備的Web界面
與固件一樣,確切了解設(shè)備的工作原理是確保您在使用產(chǎn)品時(shí)能夠保持安全的***方法。
(3) 接觸供應(yīng)商安全團(tuán)隊(duì)
您接觸他們不必非要為了產(chǎn)品安全問(wèn)題,你也可以測(cè)試他們對(duì)協(xié)作的響應(yīng)能力和開(kāi)放性。明確地了解供應(yīng)商的安全團(tuán)隊(duì)如何應(yīng)對(duì)問(wèn)題非常重要。
(4) 尋找該設(shè)備的其他用戶(hù)
您可以尋找一個(gè)subreddit論壇或郵件列表,供用戶(hù)聚在一起討論該產(chǎn)品屬性。這些社交論壇經(jīng)常會(huì)分享一些用戶(hù)并未察覺(jué)的漏洞信息,是真正提供學(xué)習(xí)和分享機(jī)會(huì)的好地方。
(5) 參加培訓(xùn)課程
如果你想要深度探索物聯(lián)網(wǎng)設(shè)備采購(gòu)這門(mén)學(xué)問(wèn),建議您可以選擇一門(mén)課程來(lái)幫助您更好地準(zhǔn)備設(shè)備審核過(guò)程。擁有常見(jiàn)IoT設(shè)備工具包可以幫助您更輕松地識(shí)別自身設(shè)備中的錯(cuò)誤。
【本文是51CTO專(zhuān)欄作者“”李少鵬“”的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過(guò)安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】
