在一系列利用iot裝置預設安全設定的大規模分布式拒絕服務攻擊發生後,美國兩個政府機構釋出了有關iot安全的安全指導檔案。
美國國土安全部(dhs)和國家标準與技術研究所(nist)同時釋出了針對iot的安全建議。專家稱,dhs的iot安全指南側重于基礎部分,而nist為企業提供了更多操作方法。
dhs的iot安全指南提出了六項戰略原則,旨在為iot開發人員、制造商、服務提供商和消費者“提供方法以幫助他們在開發、制造、部署或使用聯網裝置時全面確定安全性”。dhs建議在設計階段部署iot安全,推送安全更新,采用經過驗證的安全做法,優先考慮高風險問題,提高透明度以及謹慎使用iot裝置。
fortinet公司全球安全政策是derek manky稱,dhs提供的基礎部分是iot安全指南最佳政策。
“現在很多團隊都應該關注基礎部分,但不幸的是,直到數百萬iot裝置在世界各地部署,大家才注意這個問題,”manky稱,“我認為最好的方法是現在開始關注基礎部分,從iot的角度來看,并沒有任何最佳安全和開發做法,第一步是應該是開發正确的架構,然後開始改變iot開發人員的心态。”
prpl基金會董事長art swift稱,dhs為iot安全做法設定了良好的基準。
“雖然這看起來很基本,但這些正是制造商和開發人員需要做的事情,以幫助改善物聯網的安全性,”swift說,“但dhs并沒有提供如何執行其建議的實際操作方法。”
iot網絡安全公司senrio副總裁jamison utter稱:“對于任何管理機構,在這個階段,最重要的是執行具有高影響力但非常可實作的做法。”
“例如,在設計階段部署安全性部分涉及預設啟用安全性,”utter稱,“更改預設密碼可能可很好地抵禦攻擊,且90%都很容易操作。”
manky認為mirai僵屍網絡攻擊很好地證明,從一開始部署安全性是iot安全中最重要的問題之一。
“mirai被證明是通過非常簡單的操作來積累其巨大攻擊力量:試圖使用預設使用者名和密碼登入裝置。如果開發人員删除預設使用者名和密碼,這幾乎可阻止這種僵屍網絡,”manky說道,“從一開始就考慮安全性意味着部署common weakness enumeration等做法來評估産品的安全狀态,可避免寫死和預設密碼之類的東西。”
然而,utter稱dhs的iot安全指南并沒有談論過多技術細節。
“這個指導檔案似乎談得比較寬泛。而其實,對于iot還根本無法實作漏洞管理等做法,”utter稱,“它還有些傳統思維和假設,例如iot仍然是一個‘網絡問題’,我們認為iot是始終連接配接始終線上的問題。這個指導檔案很好;但如何部署這些建議方面則有些缺乏。”
manky稱:“dhs指導檔案解釋了什麼以及為什麼,如果你想了解更多,nist的指導檔案為你提供了操作方法。”
根據新的nist特刊800-160,“對于管理當今系統不斷增加的複雜性、動态性以及互聯性,基于工程的解決方案是關鍵,這可以網絡實體系統和系統之系統(包括物聯網)為例。該指導檔案指出應采用工程驅動的視角和行動來開發更安全和可行的系統,包括構成這些系統的機器、實體和人類組成部分以及這些系統提供的功能和服務。”
swift指出,現在是時候讓整個行業參與并部署必要的改變,以讓物聯網更加安全和可靠。
“在硬體層保護裝置是確定iot更加安全的最重要的方法之一,但使用開源軟體也是關鍵領域。制造商和開發人員不應再依靠可被逆向工程的專有代碼,因為事實已經一次又一次證明‘模糊安全’做法已經不可行,”swift指出,“通過使用開源部署--開放接受審查且更加安全,開發人員可基于安全第一的做法,然後在增值市場差異因素方面進行競争。”
manky稱贊這兩個新的iot安全指南,因為它們可促進對該主題的更多讨論。
“我們需要協作,不僅僅是在美國矽谷,每個垂直行業的制造商都應該協作起來,”manky指出,“這是我們多年來在技術領域一直在說的話,但iot已經涉及很多新的人,是以我們需要繼續重申這個觀點。這是下一波數字化發展趨勢,確定健康持續發展很重要。”
本文轉自d1net(轉載)
![【圖解HTTP】——確定Web安全的HTTPSHTTPS小結[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)