在2021年,您将拥有比以往任何时候的网络上的连接设备,特别是如果您是在医疗保健,零售或物流,那么早期采用者之间的行业物联网(IoT)。您将拥有网络边缘的设备,在您的总部,在车辆,在您的商店,员工家庭和公共财产中的车辆。
这些物联网设备中有很好的机会可以危及您的网络内置的安全漏洞。在尝试利用Connected商业设备的贪婪全球胃口中,许多IOT制造商和开发人员正在铲除企业IOT设备,我们会说,不同于安全级别。
如果在建立了连接设备的新强制性最低安全标准,则在不久的将来可能有一些帮助。物联网网络安全改进法案,该公司于2020年12月4日由总统特朗普签署法律。
该法案指导国家标准与技术研究所(NIST)为政府机构购买的任何设备创建并系统更新物联网安全标准。这可能有助于政府之外的企业专业人士的原因是,标准预计将影响私营企业。不过,对于已经连接到网络或等待购买的数十亿旧物联网设备,或者从现在到标准制定、制造商和开发商开始遵守这些标准时将生产的设备,该法律不会提供帮助。
那么企业专业人士是什么?
NIST已经在物联网安全方面展开了工作,并做好了准备四个草案文件它说“将有助于解决”IOT网络安全改进法“中提出的挑战。其中三个是为制造商编写的,并建议他们在设计和构建安全物联网设备时可能遵循的指导方针。第四个是关于可能购买这些设备的组织应该在购买它们时要求。“该文件有背景和建议,帮助各机构考虑IoT设备需要为原子能机构提供哪些安全功能来集成它,”NIST宣布四个文件。
尽管是草稿,但他们目前表格的文件可以提供有价值的指导。
另一个好的步骤:熟悉自己八个关键安全原则由安全事物互联网创建的IOT设备,倡导安全标准和遵守的行业联盟:
- 没有通用密码
- 安全界面
- 经过验证的加密
- 默认情况下的安全性
- 验证软件
- 自动安全更新
- 漏洞报告计划
- 安全到期日期
如果你为自己的网络考虑的物联网设备不能满足上面的一个或多个原则,你可能应该寻找一个更安全的替代方案,即使这意味着什么都得不到。至少你不会因为一个不安全的物联网设备而危及你的网络。
如果您有时间和资源,另一种选择是测试设备,以评估他们的可靠性,如Laurens Leemans,Cofounder,共同所有者以及Signips的领导开发人员,其经验是一种警示故事。
回到2月,莱姆人召开,在一个推线标题为“InfoSec Fail Thread”,对其公司的IOT设备进行了快速评估,他的公司正在考虑提供客户。该设备是一种用于跟踪建筑物或公共场所的人员的计数器系统。
首先,莱姆人明确说他是谨慎的。“根据常规,我通常会在为客户提供之前对产品进行一些基本的安全/理智检查,”他写道。然后,这是一个叙述行动中的“最佳实践”。
“所以,我们给它通电,并按照说明安装了它。它通过以太网供电,但也有Wi-Fi来计算通过它的设备数量。
“我们首先注意到的是,它建立了一个网络,带有广播的SSID和默认密码。有点奇怪,因为它也是通过以太网连接的,但还好。无论什么。除了:你不能更改SSID和密码!”
从那里迅速地解开的东西,到标志和设备制造商处于令人讨厌的公众之中吐满其中包括勒索指控、一份警方报告、一篇报纸文章,以及布鲁诺·马尔斯(Bruno Mars)的音乐。
正如莱姆人所做的那样,你不必与你的IoT尽职调查一起去。但他提供了一个优秀的典范:如何利用如何和应该运行一个连接的设备,仔细检查它,而不是把它插进网络,然后期待最好的结果,因为你是乐观和信任的。