有许多方法可以提高物联网设备的安全性,而这一切始于物联网厂商。
这是在线信任联盟(OTA)在家庭和可穿戴技术方面开展的研究得出的调查结果之一。
OTA发现,如果厂商遵循该组织新颁布的物联网信任框架里面概述的安全和隐私准则,就算无法避免物联网设备所有报告上来的安全漏洞,至少可以避免其中的许多漏洞。
OTA的执行董事兼总裁克雷格·斯皮泽勒(Craig Spiezle)表示,由于急于向市场推出产品,物联网厂商常常忽视安全和隐私。物联网信任框架概述了31条原则,设备制造商、开发人员和决策者可以遵循这些原则,提高物联网设备的安全性。
斯皮泽勒说:“我们还认为,首席信息安全官应该留意这套框架,尤其是由于更多的人将物联网设备从家里带到工作场所。”他补充道,与设备制造商和应用程序开发人员一样,各大零售商、美国房地产经纪人协会和风险投资基金都表示有兴趣采用物联网框架原则。
根据对斯皮泽勒所作的采访,下面这八点有助于读者了解物联网信任框架。
1. 限制和保护登录信息访问。
厂商发布的产品其登录信息管理往往不安全,包括采用了敞开、容易发现的管理控制机制。如果限制特权用户和一般用户的访问,他们就能更有效地保护和锁定管理控制机制。
2. 明确公布消费者数据收集和共享方面的政策及做法。
公司需要清楚地表明什么数据可以与第三方或其他业务合作伙伴共享。许多物联网公司是初创公司,非常忙碌,也没有注重隐私的观念。要明确公布什么数据在共享,这可以减少误解。
3. 运行渗透测试。
在整个开发过程中加入严格的安全测试。这可能包括渗透测试和威胁建模。斯皮泽勒表示,如今这些服务和工具唾手可得。他谈论的不是复杂的逆向工程,而是可以检测安全漏洞的基准线测试。
4. 确定一种易于使用的沟通途径。
有些情况下,第三方、学者或顾问发现了产品中的安全漏洞,但物联网公司没有一种简单的方法来获得这些信息。无论是在网站上制作一份表单,还是开设简单的电子邮件地址,要欢迎这类第三方告知安全漏洞信息。
5. 制定更安全的配对控制措施。
低端物联网设备常常会连接到它能找到的信号最强的那个网络。开发人员需要融入配对控制措施,确保设备连接到用户指定的那个网络。这种问题在多个无线网络漫游的公寓楼或排屋里面会成为问题。
6. 测试查找常见的代码注入漏洞。
从许多方面来看,这一点可以作为本文第3点的附加部分,但是物联网公司需要测试、查找已知的安全漏洞和弱点。一旦产品投入使用,这么做可以减少潜在的安全问题。
7. 牢牢锁定数据传输和存储。
许多物联网产品存在的另一个问题是,产品缺乏传输安全和加密存储。比如说,依赖蓝牙的物联网设备使用的用户名和密码在传输过程中是公开暴露的。物联网厂商就需要确保数据已经过了加密处理,那样当设备连接到其他设备,或者用户将传输的数据存储在iPhone或iPad其他设备上时,数据不会暴露。
8. 制定生命周期支持计划。
由于急不可待地发布产品,许多物联网公司忘了为产品的生命周期制定支持计划。这包括补丁更新,产品主人易手后提供支持计划,或者在产品生命周期结束后禁用产品。
本文转自d1net(转载)
