物聯(lián)網(wǎng)(IoT)
物聯(lián)網(wǎng)(IoT)幾乎用于我們?nèi)粘I畹姆椒矫婷妫〝U(kuò)展到工業(yè)部門和應(yīng)用(即工業(yè)物聯(lián)網(wǎng)(IIoT))��。物聯(lián)網(wǎng)和IIoT構(gòu)成了一個(gè)快速增長(zhǎng)的領(lǐng)域�����,帶來了獨(dú)特的安全挑戰(zhàn)。[從這一點(diǎn)開始第四�����,當(dāng)我們使用物聯(lián)網(wǎng)時(shí)�,我們包括IIoT。其中一些在網(wǎng)絡(luò)物理系統(tǒng)安全CyBOK知識(shí)領(lǐng)域中進(jìn)行了考慮���,但我們?cè)谶@里專門考慮了軟件生命周期問題��。必須安全地配置設(shè)備�����,這些設(shè)備與云之間的連接必須安全���,并且必須保護(hù)存儲(chǔ)和傳輸中的數(shù)據(jù)。然而����,這些設(shè)備體積小,價(jià)格便宜��,資源有限。制造商可能認(rèn)為將安全性內(nèi)置到每個(gè)設(shè)備中并不具有成本效益���,具體取決于設(shè)備的價(jià)值及其收集的數(shù)據(jù)的重要性����?���;贗oT的解決方案通常具有大量地理位置分散的設(shè)備。由于這些技術(shù)挑戰(zhàn)���,物聯(lián)網(wǎng)存在信任問題���,其中大多數(shù)目前沒有解決方案,需要研究�����。然而��,美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)推薦了四種開發(fā)基于物聯(lián)網(wǎng)的安全系統(tǒng)的實(shí)踐����。
1. 使用射頻識(shí)別(RFID)標(biāo)簽。傳感器及其數(shù)據(jù)可能會(huì)被干擾�、刪除、丟棄或不安全傳輸����。市場(chǎng)上存在假冒“東西”。唯一標(biāo)識(shí)符可以通過將射頻識(shí)別(RFID)標(biāo)記附加到設(shè)備來緩解此問題���。讀卡器激活標(biāo)簽��,使設(shè)備在國(guó)際上政府為RFID使用保留的帶寬內(nèi)廣播無線電波����。無線電波傳輸引用與設(shè)備關(guān)聯(lián)的唯一信息的標(biāo)識(shí)符或代碼����。
2. 不使用或允許使用默認(rèn)密碼或憑據(jù)。IoT設(shè)備的開發(fā)通常不會(huì)要求用戶和管理員在系統(tǒng)設(shè)置期間更改默認(rèn)密碼��。此外���,設(shè)備通常缺乏用于更改憑據(jù)的直觀用戶界面�。建議的做法是要求更改密碼或在直觀的界面中進(jìn)行設(shè)計(jì)�?���;蛘?����,制造商可以隨機(jī)化每個(gè)設(shè)備的密碼����,而不是使用少量的默認(rèn)密碼。
3. 使用制造商使用說明(MUD)規(guī)范�。制造商使用說明(MUD)28規(guī)范允許制造商指定授權(quán)和預(yù)期的用戶流量模式,通過限制與設(shè)備之間的通信到目標(biāo)源和目標(biāo)來減少物聯(lián)網(wǎng)設(shè)備的威脅面由制造商提供��。
4. 開發(fā)安全升級(jí)過程����。在非物聯(lián)網(wǎng)系統(tǒng)中,更新通常通過安全進(jìn)程提供�,在該過程中,計(jì)算機(jī)可以對(duì)推送補(bǔ)丁以及功能和配置更新的源進(jìn)行身份驗(yàn)證��。物聯(lián)網(wǎng)制造商通常沒有建立這樣的安全升級(jí)過程����,這使得攻擊者能夠?qū)υO(shè)備進(jìn)行自己的惡意更新的中間人推送���。IoT固件更新體系結(jié)構(gòu)29提供有關(guān)實(shí)施安全固件更新體系結(jié)構(gòu)的指導(dǎo)����,包括定義設(shè)備制造商應(yīng)如何操作的硬規(guī)則。
此外��,英國(guó)數(shù)字����、文化、媒體和體育部還提供了消費(fèi)者物聯(lián)網(wǎng)安全行為準(zhǔn)則��。行為準(zhǔn)則中包括13條準(zhǔn)則����,用于提高消費(fèi)者物聯(lián)網(wǎng)產(chǎn)品和相關(guān)服務(wù)的安全性。其中兩個(gè)準(zhǔn)則與上面的NIST項(xiàng)目符號(hào)2和4重疊��。
指南的完整列表包括以下內(nèi)容:
(1)沒有默認(rèn)密碼;(2)實(shí)施漏洞披露政策;(3)保持軟件更新;(4)安全存儲(chǔ)憑據(jù)和安全敏感數(shù)據(jù);(5)安全通信(即對(duì)敏感數(shù)據(jù)使用加密);(6)盡量減少暴露的攻擊面;(6)確保軟件完整性(例如使用安全啟動(dòng));(8)確保個(gè)人數(shù)據(jù)受到保護(hù)(即根據(jù)GDPR);(9)使系統(tǒng)能夠抵御中斷;(10)監(jiān)控系統(tǒng)遙測(cè)數(shù)據(jù);(11)方便消費(fèi)者刪除個(gè)人資料;(12)使設(shè)備的安裝和維護(hù)變得容易;(13)驗(yàn)證輸入數(shù)據(jù)�。
最后,Microsoft提供了物聯(lián)網(wǎng)安全架構(gòu)���。
沃卡惠
