在一系列利用IoT设备默认安全设置的大规模分布式拒绝服务攻击发生后,美国两个政府机构发布了有关IoT安全的安全指导文件。
美国国土安全部(DHS)和国家标准与技术研究所(NIST)同时发布了针对IoT的安全建议。专家称,DHS的IoT安全指南侧重于基础部分,而NIST为企业提供了更多操作方法。
DHS的IoT安全指南提出了六项战略原则,旨在为IoT开发人员、制造商、服务提供商和消费者“提供方法以帮助他们在开发、制造、部署或使用联网设备时全面确保安全性”。DHS建议在设计阶段部署IoT安全,推送安全更新,采用经过验证的安全做法,优先考虑高风险问题,提高透明度以及谨慎使用IoT设备。
Fortinet公司全球安全策略是Derek Manky称,DHS提供的基础部分是IoT安全指南最佳策略。
“现在很多团队都应该关注基础部分,但不幸的是,直到数百万IoT设备在世界各地部署,大家才注意这个问题,”Manky称,“我认为最好的方法是现在开始关注基础部分,从IoT的角度来看,并没有任何最佳安全和开发做法,第一步是应该是开发正确的框架,然后开始改变IoT开发人员的心态。”
Prpl基金会董事长Art Swift称,DHS为IoT安全做法设定了良好的基准。
“虽然这看起来很基本,但这些正是制造商和开发人员需要做的事情,以帮助改善物联网的安全性,”Swift说,“但DHS并没有提供如何执行其建议的实际操作方法。”
IoT网络安全公司Senrio副总裁Jamison Utter称:“对于任何管理机构,在这个阶段,最重要的是执行具有高影响力但非常可实现的做法。”
“例如,在设计阶段部署安全性部分涉及默认启用安全性,”Utter称,“更改默认密码可能可很好地抵御攻击,且90%都很容易操作。”
Manky认为Mirai僵尸网络攻击很好地证明,从一开始部署安全性是IoT安全中最重要的问题之一。
“Mirai被证明是通过非常简单的操作来积累其巨大攻击力量:试图使用默认用户名和密码登录设备。如果开发人员删除默认用户名和密码,这几乎可阻止这种僵尸网络,”Manky说道,“从一开始就考虑安全性意味着部署Common Weakness Enumeration等做法来评估产品的安全状态,可避免硬编码和默认密码之类的东西。”
然而,Utter称DHS的IoT安全指南并没有谈论过多技术细节。
“这个指导文件似乎谈得比较宽泛。而其实,对于IoT还根本无法实现漏洞管理等做法,”Utter称,“它还有些传统思维和假设,例如IoT仍然是一个‘网络问题’,我们认为IoT是始终连接始终在线的问题。这个指导文件很好;但如何部署这些建议方面则有些缺乏。”
Manky称:“DHS指导文件解释了什么以及为什么,如果你想了解更多,NIST的指导文件为你提供了操作方法。”
根据新的NIST特刊800-160,“对于管理当今系统不断增加的复杂性、动态性以及互联性,基于工程的解决方案是关键,这可以网络物理系统和系统之系统(包括物联网)为例。该指导文件指出应采用工程驱动的视角和行动来开发更安全和可行的系统,包括构成这些系统的机器、物理和人类组成部分以及这些系统提供的功能和服务。”
Swift指出,现在是时候让整个行业参与并部署必要的改变,以让物联网更加安全和可靠。
“在硬件层保护设备是确保IoT更加安全的最重要的方法之一,但使用开源软件也是关键领域。制造商和开发人员不应再依靠可被逆向工程的专有代码,因为事实已经一次又一次证明‘模糊安全’做法已经不可行,”Swift指出,“通过使用开源部署--开放接受审查且更加安全,开发人员可基于安全第一的做法,然后在增值市场差异因素方面进行竞争。”
Manky称赞这两个新的IoT安全指南,因为它们可促进对该主题的更多讨论。
“我们需要协作,不仅仅是在美国硅谷,每个垂直行业的制造商都应该协作起来,”Manky指出,“这是我们多年来在技术领域一直在说的话,但IoT已经涉及很多新的人,所以我们需要继续重申这个观点。这是下一波数字化发展趋势,确保健康持续发展很重要。”
本文转自d1net(转载)