收藏!为 OEM 简化 IoT 物联网安全性的 5 个步骤
随着数字化转型的实现,企业越来越依赖支持有价值的物联网服务的设备。随着对这些设备的依赖性不断增加,对连接解决方案的网络攻击数量也在增加。每次违规行为不仅会影响企业声誉,还会影响底线盈利能力,并产生法律后果。为了限制这些破坏性后果,物联网设备的制造商(和供应商)必须迅速采取行动,以保持领先于威胁。
OEM 物联网安全
一些国家,政府和行业机构正试图通过立法、标准和基线要求来保护其公民,迫使或鼓励设备制造商实施适当的保护措施。客户也越来越意识到对其设备以及公司或个人数据保护的重要性。最近的调查显示,许多人没有购买锁具和摄像头等智能家居产品,因为他们担心自己的安全性。
原始设备制造商 (OEM) 如果希望利用数字化转型创造的机会,就必须建立客户对这些产品及其生成的数据的信心。要做到这一点,唯一的方法是设计安全性并将其嵌入到连接设备的每一层中。
物联网安全挑战
并非所有 OEM 都有时间、资源或专业知识来投资安全性。保护 IoT 设备非常复杂,它需要了解硬件、软件、操作系统和应用程序安全性。识别和评估不同的安全解决方案也需要时间。实施保护措施会增加单位成本和物料清单,在2021年对技术行业领导者的调查中,超过一半的受访者表示,额外的安全成本是实施的最大障碍之一。那么,这是跳过它的足够好的理由吗?
要回答这个问题,请考虑安全漏洞对客户的潜在影响,无论他们是个人还是组织。单个产品中的漏洞可能会使整个网络瘫痪,例如,如果它是健康,水或能源基础设施的一部分,则可能会产生重大影响。成功的网络攻击的成本也可能很高,如果您不遵循最佳实践,您可能会面临声誉风险。
幸运的是,OEM 可以采取五个关键步骤来降低安全性的复杂性,以及从头开始在其设备中构建正确保护所涉及的时间和成本:
第 1 步:遵循框架
物联网安全框架使安全民主化。即使您没有安全专家团队,它们也可以更快,更轻松,更具成本效益地构建安全产品。它们还标准化了安全性,因此生态系统以相同的方式进行设计和实现。
在许多情况下,这些框架是由世界领先的公司设计的,它们包括一套免费资源,以帮助您采用最佳实践并满足基本的安全要求。选择符合立法、标准和基线要求的框架很有用,例如全球标准ETSI EN 303 645、美国的NIST 8259A或其他行业方案。如果您在多个市场开展业务,这尤其有价值。
步骤 2:完成威胁模型和安全分析
威胁模型和安全分析 (TMSA) 是安全之旅的下一步,它可以帮助您建立最佳实践的审核跟踪。通过执行TMSA,您将能够识别对设备的威胁以及为确保设备及其生成的数据安全而采取必须的措施。
TMSA 可帮助您避免在一开始就对安全性进行投资不足或过度投资,这意味着在开发后期进行代价高昂的更改的可能性较小。它还将帮助您将安全性嵌入到设备的每一层。
寻找提供示例的框架,如果你想让这个过程更容易,你可以适应你的用例。
步骤 3:实现信任根
根据美国国家标准与技术研究院(NIST)的说法,信任根(RoT)是:"执行特定关键安全功能的高度可靠的硬件,固件和软件组件。这些功能可能包括加密、证明、可信启动和安全存储。
RoT内置于芯片中。它将基本安全功能置于设备的核心,并为应用程序开发人员提供了一个安全的基础。它得到了几个行业计划和一些网络保险公司的认可。正如慕尼黑再保险网络高级安全专家Tim Davy所解释的那样:"在组织或系统内拥有基于信任根的组件有助于保险公司划分风险并降低不作为的成本。随着更多可信组件的出现,业务弹性更强,对供应链的了解也越来越高,从而将故障成本降至最低。
如果您选择具有RoT的组件,您将知道安全性已内置,这消除了保护设备的艰苦工作。
第 4 步:寻求第三方评估和认证
但是,您还需要展示您在安全方面的投资,以便客户知道您的产品值得信赖。第三方评估和认证将使客户和更广泛的生态系统高枕无忧,而这种保证将使您能够扩展部署。
要获得认证,独立的安全专家将根据最佳实践评估您的实施情况,以及您与法规、标准和基线要求的一致性。如果采取了适当的措施,将颁发认证。
第 5 步:加强协作
如果您利用生态系统的专业知识,则可以打破上面强调的安全障碍,并确保不会独自面对这些安全挑战。已经广泛支持采取更具协作性的方法。大多数对PSA认证的2021年安全调查做出回应的技术行业决策者(85%)表示,他们有兴趣分享物联网安全知识。
那么,你是怎么做到的呢?一种选择是选择已经被评估为安全的组件,这使您能够从行业领导者的知识中受益。在某些情况下,您甚至可以通过重用他们的认证来支持您自己的旅程,从而利用他们在安全性方面的投资。
降低物联网安全的复杂性
上面列出的五个步骤降低了安全性的复杂性,并最大限度地减少了保护物联网设备所涉及的时间和成本。它们还有助于跨行业扩展数字化转型,构建更安全的产品,生成人们可以信任的数据,并可用于创建新服务。
总结一下:
1. 框架可以更快、更轻松地实现安全性,并减少保护物联网产品所需的时间和成本。
2.威胁模型和安全分析将帮助您确定设备的正确安全级别,以及保护设备必须采取的步骤。
3.实施RoT使您能够在安全的基础上构建设备。
4. 第三方评估和认证有助于向客户保证您设计的产品符合最佳实践。
5. 最后,通过与生态系统密切合作,您可以简化和加速安全实施,帮助您建立人们对物联网的信心。
原文转自infosecurity,作者David Maidment,超级科技译,合作站点转载请注明出处和原文译者为超级科技!
Hi,我是超级科技
超级科技是信息安全专家,能无上限防御DDos攻击和CC攻击,阿里云战略合作伙伴!