本文讲的是 : 云安全联盟发布最新IoT安全指南 , 【IT168 资讯】在一年多前,RAND公司在其网络安全研究报告中揭露了物联网(IoT)非常易受攻击,该报告的发现还包括事后逐个修复补丁的安全做法以及为非联网设备提供互联网连接带来显著风险。
自那以后,大家开始探讨如何加强IoT设备的安全性,这些联网、智能且便宜的传感器设备像爆米花在全球扩张,其数量很快会达到10亿。
而近日云安全联盟在其80页指南中正式确认需要加强IoT安全性。
理由:IoT可能用于发起DDoS攻击,关键国家基础设施可能越来越依靠IoT,汽车也逐渐开始联网。此外,无人机也开始流行,并被用作侦查平台,IoT产品都可能涉及隐私性。
CSA是云安全认证提供商,主要致力于推广最佳云安全做法,其成员包括主要的云服务提供商。
在开发阶段构建安全
CSA在其最新IoT建议中表明,从安全的开发做法开始是关键。这意味着开发人员必须从一开始就必须满足安全要求和流程。
并且,开发人员应该关注安全性。IoT通常会部署在物理上曝光且不安全的环境,而这意味着安全不应该仅限于通信水平,还应该注意设备可能会被窃取,共享密钥可能被解除。
CSA称,对于很多小型制造商而言,安全是全新的概念。这可能是IoT很少部署加密的原因之一。
云安全联盟称:“安全不是业务驱动因素。”缺乏标准以及缺少IoT专家让安全问题进一步恶化。
IoT设备的低价格也是一个问题,这意味着攻击者很容易获得IoT设备进行研究。嵌入式系统的资源局限性也限制了安全选项,例如,它们没有足够的处理能力。
除了上述安全开发做法,CSA新的软件指南还表明,开发人员应该评估编程语言,并寻求这些特定语言的安全指南。还请记住检查智能手机运行的应用。
还应该评估框架和平台安全功能。
此外,CSA称还必须建立隐私保护,这包括仅收集必要的最少量的数据。CSA强调,硬件还必须有基于硬件的安全控制,以防止攻击者从内部硬件组件提取数据。
同时,这还涉及对网络通信协议的选择。数据必须得到保护,CSA的报告还包括不同通信网络的介绍以及它们在IoT设备的安全性中发挥的作用。
最后,API必须可抵御DDoS攻击,IoT设备必须安全地更新来阻止对固件的修改。另外,我们还可以通过日志记录机制来查看谁在访问设备。CSA建议运行安全审查,开放Web应用安全项目(OWASP)提供了反馈和优化工具。
原文发布时间为:2015年7月6日
本文作者:高博
本文来自云栖社区合作伙伴IT168,了解相关信息可以关注IT168
原文标题 :云安全联盟发布最新IoT安全指南
