物聯網开發人員需要了解的網絡安全標籤
隨着物聯網和網絡犯罪分子的增長,物聯網設備的安全性已經成爲一個更加突出的問題。監管機構在適應這些趨勢方面進展緩慢,但這種情況正在改變。許多新興法律和可選認證旨在讓物聯網开發人員遵守更高的標准。
FCC和NIST的美國網絡信任標志,旨在幫助消費者識別值得信賴的物聯網設備。其他國家也已經採取了類似的計劃。在這一趨勢中,消費者的安全意識將會提高,使得物聯網安全標准對於保持競爭力變得越來越重要。
美國網絡信任標志
美國政府於2022年宣布了物聯網標籤計劃,並於2023年將其再次確定爲網絡信任標志。最終的法規仍在制定中,但監管機構預計其將於2024年生效,开發人員可以通過審查NIST的推薦標准來做好准備。
其中一些建議直接適用於开發人員,包括工作流程實踐,例如持續更新和文檔。大多數人關注設備本身,關注硬件和軟件安全性,特別是當它們影響用戶的知識水平和保護這些端點的能力時。
網絡信任標志是一項自愿計劃,但不推行該計劃可能存在風險。消費者愿意爲安全的物聯網設備支付更高的費用,而信任標志將高安全性選項與安全性較低的替代品區分开來。因此,其生效後可能會影響物聯網銷售。
全球物聯網網絡安全標籤要求
美國網絡信任標志並不是唯一需要考慮的物聯網設備安全標籤。國際上也存在類似的計劃,影響到那些產品在非美國市場銷售的开發者,就像GDPR適用於在歐洲運營的美國企業一樣。
考慮到2022年該地區的物聯網收入達到477億美元,歐洲應該是全球开發商特別關注的焦點。歐盟的《網絡彈性法案》(CRA)包括類似於網絡信任標志的物聯網規範。其他標籤計劃包括英國的《消費者物聯網安全行爲准則》和新加坡的《網絡安全標籤計劃》(CLS)。
CRA是強制性法律,而CLS和英國實踐守則則是自愿性計劃。與網絡信任標志一樣,這些可能不會導致法律問題,但未能滿足更高標准可能會影響這些地區的業務。
开發人員如何實施物聯網安全標籤
即使物聯網安全標籤是可選的,實現它們也意味着確保設備滿足更高的標准。這些標准的證明使物聯網產品對注重安全的市場更具吸引力。以下是开發人員如何通過擁抱這些計劃來利用這個機會。
- 審查適用標准
從監管的角度來看,物聯網設備安全的第一步是審查要遵守哪些法律或標准。雖然標籤計劃之間存在很多交叉,但具體要求會有所不同,因此決定最重要的要求很重要。
CRA對於瞄准歐洲市場的物聯網开發者而言是必須的,因爲其是強制性的。而對於其他計劃,則應該考慮最大的客戶群在哪。如果想要實現多個標籤,則須以最嚴格的要求爲目標。遵守這一標准,將使其更容易獲得其他具有全球吸引力的認證。
在審查要遵循哪些標准時,要避免堅持最低標准。超越將有助於獲得更高級別的認證,並最大限度地降低風險,以改善現實世界的結果。這與生產優化類似,噴油壓縮機盡管配備了過濾器,但仍可能污染多氯聯苯,因此無油選擇是首選。
- 確保安全通信
許多主要標籤計劃要求物聯網端點具有安全通信協議。通常,這意味着默認情況下對傳輸中的數據進行加密,但除此之外的範圍還有待解釋。
英國的《消費者物聯網安全實踐准則》建議,加密措施取決於使用環境,並且可以不斷發展。因此,其不需要特定的方法,但建議开發人員根據數據、設備使用情況和當前威脅形勢確定適當的加密實踐。相比之下,CRA特別推薦傳輸層安全或消息隊列遙測傳輸。
可以將這些類型的加密作爲選項包含在內,但最好默認啓用。這樣可以最大限度地減少了用戶錯誤危害物聯網設備安全的空間——這是許多標籤計劃的重點。
- 啓用威脅檢測
標准(包括美國網絡信任標志)也可能要求設備具有檢測和報告異常行爲的方法。鑑於物聯網設備的處理能力有限,這可能會很棘手,但總有辦法可以解決。
如果沒有邊緣計算,人工智能支持的連續監控可能不是一個選擇,但也不一定是必須具備的。相反,可以爲正常設備行爲建立基线。即使相對簡單的算法也可以檢測到行爲何時超出這些參數並觸發警告消息。
這些警報應該發送給終端用戶和物聯網企業。這樣,無論誰在任何情況下對威脅負責,都可以及時做出響應。
- 確保透明度
用戶透明度是物聯網設備安全需要解決的另一個關鍵領域。網絡信任標志、CRA和其他標籤計劃都要求开發人員向終端用戶披露潛在的威脅。因此,必須讓用戶了解最佳實踐。
多達95%的網絡安全問題源於人爲錯誤,但監管機構傾向於將用戶教育的責任推給物聯網企業。如果人們不知道哪些行爲有風險,就無法安全地採取行動,因此开發人員必須促進更安全的使用。
理想情況下,設計應盡量減少人爲錯誤的空間,但提供選擇總是意味着接受一些與錯誤相關的風險。要解決此問題,需檢查產品以了解某些用戶行爲可能會在何處產生漏洞。在用戶手冊中討論這些危險行爲,並建議更安全的替代方案或最佳實踐,例如創建強而獨特的密碼。
- 測試產品並提供持續支持
測試是許多物聯網標籤計劃的另一個重要方面。許多軟件在發布之前都需要測試,以確保符合更高的安全標准。在提交設計以獲得監管批准之前進行測試是不必要的,但建議簡化流程。
新加坡基於分層的CLS的最高級別需要第三方滲透測試來驗證設備安全性。其他標准沒有走得那么遠,但是無論如何,採用這些獨立的測試是一種有效的臨時安全監督方法。
同樣,幾乎所有標籤計劃都需要持續的測試和支持。這意味着定期研究新出現的風險,並發布OTA更新來解決這些風險。考慮到更新中毒風險,安全啓動、代碼籤名和加密更新身份驗證措施等功能都至關重要。
網絡安全標籤對於物聯網开發人員至關重要
隨着消費者越來越意識到物聯網的安全風險,其標准將會提高。標籤計劃符合這些標准,爲物聯網开發人員提供了一種證明其產品安全性的方法。
在某些情況下,滿足這些標籤要求可以避免監管罰款。在其他方面,也幫助利用不斷變化的市場。無論如何,其都是在日益監管和安全的市場中競爭的關鍵部分。
相關推薦:
- 醫療物聯網真的能改善醫療保健嗎?
- 物聯網在供應鏈管理方面有哪些潛力
- 物聯網和雲計算時代網絡安全的演變
- 互聯建築:智能基礎設施和物聯網开發
- 智能家居革命:物聯網如何改變現代生活
標題:物聯網开發人員需要了解的網絡安全標籤
地址:https://www.utechfun.com/post/303476.html