美国国土安全部发布物联网安全最佳实践

简介:

美国国土安全部(DHS)最近发布了其《物联网安全策略原则》。其中包含6条不具约束力的指导性原则,旨在为设计、制造和部署联网设备提供安全。里面引用了一句话:“物联网以最大化安全最小化风险的方式采纳,有一个很小且还在快速闭合的窗口期。如果国家没能成功把握,将会几代人。”

美国国土安全部发布物联网安全最佳实践

该引言出自国家安全电信咨询委员会给总统的物联网(IoT)报告。该报告于2014年11月发布。此后,该窗口变得更小了,而安全威胁在2016年变成了现实。

自2014年,吉普切诺基被从车载娱乐系统攻破后,物联网安全漏洞展示纷至沓来。2015年,Symbiq药物输注泵被从医院召回,原因是存在可被远程利用的漏洞。同样是在2015年,TrackingPoint公司步枪的ShotView瞄准系统被曝存在远程误导漏洞。

这些漏洞全部都是被研究人员发现并展示的。但在2016年9月,网络罪犯利用物联网,对安全博主布莱恩·克雷布斯的网站发起了史上最大型DDoS攻击(峰值在 665 Gbps )。DHS称:“最近利用IoT生态系统的恶意活动达到了前所未有的规模,引发了DHS的紧迫感,促使部门将IoT安全列入了优先考虑范围。”

DHS提出的6条原则包括:设计安全;漏洞管理和修复;最佳安全实践的采用;利用风险管理聚焦优先事务;供应链透明性;持续连接的必要性判定。

确保这些不具约束力的原则被实际采用可能会是个问题。DHS提出了法律责任归属问题。“没有成形的判例解决IoT相关问题,传统的产品责任侵权原则或许可以应用。”DHS的IoT安全指南中说道。更进一步,DHS及利益相关者需要考虑侵权、监管、认证、立法和其他机制,该如何应用到“改善安全的同时依然鼓励经济活动和突破性创新”上来。

DHS的文件被广为接受

prpl 基金会——聚焦下一代数据中心到设备便携软件和虚拟架构的开源非盈利组织,其总裁阿特·斯威夫特说:“DHS提出的原则是IoT安全实践的良好基线。虽然看起来很基础,但确实就是制造商和开发人员为改善物联网安全应该做的事。不过,DHS没解决的部分,是为怎样实现其建议提供实际指导。”

这些实际指导应从第一条原则开始:设计安全。“设计安全”多年来一直被倡导,但从未被达到。从经验上就能明显看出,如果设备从一开始就不安全,那它生命周期中都会充斥着安全问题。

prpl基金会有着自己的建议,主要围绕硬件安全和开源软件提出。其首席安全战略师凯撒·迦拉提说:“其核心,是根植硅谷的‘可信架构’驱动的安全启动,以及基于硬件的虚拟化以限制横向移动。”

斯威夫特解释道:“在硬件层次保护设备安全,是IoT变得更加安全的最重要方式之一,但采用开源软件也是一个关键领域。制造商和开发人员不应再依赖可被逆向工程的专利代码,这些代码一次次被证明‘以隐匿来确保安全’的方法是行不通的。通过使用众人监督下天然更加安全的开源实现,开发人员可首先获得基本的安全,然后在附加值市场划分上进行竞争。”

将安全烧制进IoT设备设计中还有其他提案。锡拉丘兹大学工程和计算机科学10月份的一篇论文提出了所谓的IoT设备“认证的设计安全”。该提案结合了安全设计方法学和审计过程以确认满足设计要求。文章中称:“当然,甚至认证或证明步骤本身也需要得到确信。为避免人为错误,交互式定理证明器,比如HOL4,可以利用。”

如果业界能找到遵循并确保 DHS 6 原则的方法,IoT毫无疑问会成为更安全的空间。虽然如此,仍有一个重大问题落了在上述提案都未触及的领域。这些原则将促进更安全的未来设备,但被利用来拿下KrebsOnSecurity网站的东西,已经且仍将存在。

能源和商务委员会在11月16号召开了一场听证会,题为“理解联网设备在近期网络攻击中的角色”。在线信任联盟的一份正式声明,提出了IoT设备现有不安全问题,建议开发人员和制造商:“不能再被修复和存在已知漏洞的产品,应关闭其联网功能,召回产品,或通知消费者该产品对其个人安全、隐私和数据安全的风险。”对零售商和分销商,该声明建议,“应将没有独特口令或没有产商对产品生命周期中修复承诺的产品主动下架。”

比起制定,这些解决方案更容易描述。同时,DHS 6 原则提供了未来发展的良好平台。“似乎知道这些原则的人都表达了赞同。所以,是时候让整个业界行动起来,促成让IoT更加安全所需的那些改变。众所周知,政府想赶上是十分容易的,所以,希望这是IoT安全成为主流而非‘插件’的安全考虑吧。只要业界能改变对安全的态度,让安全成为产品推向市场之前的优先或关键功能元素,我们将看到一个更加安全的IoT崛起。”

本文转自d1net(转载)

相关实践学习
钉钉群中如何接收IoT温控器数据告警通知
本实验主要介绍如何将温控器设备以MQTT协议接入IoT物联网平台,通过云产品流转到函数计算FC,调用钉钉群机器人API,实时推送温湿度消息到钉钉群。
阿里云AIoT物联网开发实战
本课程将由物联网专家带你熟悉阿里云AIoT物联网领域全套云产品,7天轻松搭建基于Arduino的端到端物联网场景应用。 开始学习前,请先开通下方两个云产品,让学习更流畅: IoT物联网平台:https://iot.console.aliyun.com/ LinkWAN物联网络管理平台:https://linkwan.console.aliyun.com/service-open
目录
相关文章
|
1月前
|
安全 物联网 网络安全
智能设备的安全隐患:物联网(IoT)安全指南
智能设备的安全隐患:物联网(IoT)安全指南
87 12
|
1月前
|
安全 物联网 物联网安全
智能物联网安全:物联网设备的防护策略与最佳实践
【10月更文挑战第26天】随着物联网(IoT)技术的快速发展,智能设备已广泛应用于智能家居、工业控制和智慧城市等领域。然而,设备数量的激增也带来了严重的安全问题,如黑客攻击、数据泄露和恶意控制,对个人隐私、企业运营和国家安全构成威胁。因此,加强物联网设备的安全防护至关重要。
93 7
|
27天前
|
安全 物联网 物联网安全
揭秘区块链技术在物联网(IoT)安全中的革新应用
揭秘区块链技术在物联网(IoT)安全中的革新应用
|
1月前
|
监控 安全 物联网安全
物联网安全与隐私保护技术
物联网安全与隐私保护技术
70 0
|
1月前
|
安全 物联网 物联网安全
智能物联网安全:物联网设备的防护策略与最佳实践
【10月更文挑战第27天】随着物联网技术的快速发展,智能设备已广泛应用于生活和工业领域。然而,物联网设备的安全问题日益凸显,主要威胁包括中间人攻击、DDoS攻击和恶意软件植入。本文探讨了物联网设备的安全防护策略和最佳实践,包括设备认证和加密、定期更新、网络隔离以及安全标准的制定与实施,旨在确保设备安全和数据保护。
68 0
|
2月前
|
安全 物联网 物联网安全
探索未来网络:物联网安全的最佳实践
随着物联网设备的普及,我们的世界变得越来越互联。然而,这也带来了新的安全挑战。本文将探讨在设计、实施和维护物联网系统时,如何遵循一些最佳实践来确保其安全性。通过深入分析各种案例和策略,我们将揭示如何保护物联网设备免受潜在威胁,同时保持其高效运行。
74 5
|
3月前
|
机器学习/深度学习 安全 物联网安全
探索未来网络:物联网安全的最佳实践与创新策略
本文旨在深入探讨物联网(IoT)的安全性问题,分析其面临的主要威胁与挑战,并提出一系列创新性的解决策略。通过技术解析、案例研究与前瞻展望,本文不仅揭示了物联网安全的复杂性,还展示了如何通过综合手段提升设备、数据及网络的安全性。我们强调了跨学科合作的重要性,以及在快速发展的技术环境中保持敏捷与适应性的必要性,为业界和研究者提供了宝贵的参考与启示。
|
2月前
|
存储 安全 物联网
|
1月前
|
存储 安全 物联网
政府在推动物联网技术标准和规范的统一方面可以发挥哪些作用?
政府在推动物联网技术标准和规范的统一方面可以发挥哪些作用?
102 50
|
1月前
|
安全 物联网 物联网安全
制定统一的物联网技术标准和规范的难点有哪些?
制定统一的物联网技术标准和规范的难点有哪些?
54 2

相关产品

  • 物联网平台