相關標簽:
物聯網(IoT)成為數據驅動洞察力的無限豐富來源的原因也使其極易受到黑客和網絡攻擊。這是一個龐大且不斷增長的連接設備復雜系統。
保護這些設備對制造商、供應商、系統集成商和其他物聯網利益相關者來說是具有挑戰性的、相對較新的領域。新的安全合規性要求正在制定,例如汽車行業的ISO/SAE 21434和歐盟消費電子產品的ETSI EN 303 645。但是用于保護連接設備的框架,例如工業互聯網聯盟的物聯網安全成熟度模型,才剛剛開始出現。網絡安全框架應解決軟件和硬件問題,包括組件。
不斷增長的物聯網威脅形勢和日益復雜的網絡攻擊者將繼續推動對全面網絡安全標準和指南的需求。最近的立法也強調了這種需要。2020年12月,美國國會通過了《物聯網網絡安全改進法案》,該法案要求美國國家標準與技術研究院(NIST)制定和發布指南,以提高物聯網設備的網絡安全性。該法案適用于擁有聯網設備的聯邦機構。2020年1月,美國第一部物聯網網絡安全法在加利福尼亞州和俄勒岡州生效,規定了在這些州銷售的物聯網設備的安全功能要求,無論設備是在哪里制造的。
2021年5月,約瑟夫·拜登總統發布了一項關于改善國家網絡安全的行政命令,規定了聯邦政府保護IT和運營技術(OT)系統的標準和要求,無論是本地、基于云還是混合。該命令規定了以下措施:
總統的命令還要求聯邦政府與私營部門合作,幫助確保產品的安全制造和運營。
滿足立法和行業合規性要求應該是公司綜合產品安全計劃的一部分。與保護IT資產和企業網絡一樣,您無法僅以被動方式處理連接設備的安全性。可持續、持久的產品網絡安全態勢需要對治理和流程采取深思熟慮的整體方法。
沒有兩個組織處于產品安全成熟度的完全相同階段。成熟度路徑需要定期評估您的網絡安全狀況,因為它與業務目標和目標以及在整個生命周期中促進和維護產品安全的人員、流程和技術相關。
治理包括確定您的產品安全計劃中的人才缺口,由于全球網絡安全技能短缺,這可能很重要。您需要經過適當培訓的內部員工或第三方專家來預測、識別和減輕潛在的連接設備和系統漏洞、網絡攻擊和其他物聯網網絡安全風險。在這些情況下,威脅建模專業知識可能是無價的,從產品設計階段的早期就開始了。
威脅建模可以幫助您確定連接的設備及其周圍系統最容易受到攻擊的位置,包括潛在的攻擊媒介和高價值資產的攻擊路徑。它還可以揭示主要風險以及減輕這些風險所需的控制或機制。根據微軟出版社發布的《Writing Secure Code》,稱職的威脅建模可以防止大約50%的潛在漏洞發生。
此外,為了以最佳方式管理風險并最大限度地減少漏洞,您不應在公司內的產品線之間改變治理和流程。一致性很重要。
很少有制造商在產品設計中考慮傳統上未聯網設備的安全性,這使得物聯網對此類產品尤其具有挑戰性。將安全性融入所有產品設計階段被證明至關重要
產品設計、開發和實施。在發現漏洞時修補安全漏洞和解決漏洞永遠不會像從一開始就設計盡可能安全的設備那樣有效。
安全設計在物聯網環境中越來越受歡迎。這種方法包括諸如持續產品測試、身份驗證保護和遵守最佳編程實踐等措施。
如果您連接的設備包含第三方組件,您需要確保有一個流程來評估可能源于這些組件的潛在漏洞。您需要詢問供應商的安全狀況和安全成熟度。
獲得供應商組件的透明度和清晰度通常意味著了解連接設備中固件實施的安全性和合規性狀態。此類檢查通常通過掃描開發中的固件來完成。組織經常將固件掃描外包給第三方測試供應商。供應商提供一份報告詳細信息,例如固件中檢測到的已知和未知漏洞、根據支持的行業標準進行合規性準備分析以及生成包含重要供應商安全數據的軟件物料清單的能力。
開源軟件在物聯網安全中發揮著重要作用,因此您應該嘗試通過頻繁掃描和監控組件來檢測和修復這些漏洞,以免它們成為現場問題。
在當今高度互聯的世界中,公司需要開發和維護整體的產品安全治理和流程。在堅實的基礎上構建這些實踐將幫助您使產品開發過程符合行業標準和合規性要求;主動識別改進流程、安全技術和控制的措施;并在安全成熟的道路上前進。
相關標簽:
