一年多前,在网络安全眼界大开兰德公司的研究探索综合物联网(IOT)互联网是多么脆弱是和打算是。
事后式的补丁上打补丁的安全性,以及显著漏洞涉及先前非连接的对象打耳光互联网连接的风险,是中令人吃惊的发现和预测在该报告中。
自那时候起,问题已经出现作为一个应该只是如何处理网络化,智能,便宜的传感器周围像爆米花全球扩张的即将成为数十亿的安全需求。
有一个“需要物联网的安全性,”在肯定了云安全联盟(CSA)的80页的指导今天发布。
原因:物联网可以用来发起DDoS攻击,关键的国家基础设施可以成为依赖于物联网,并汽车正在成为连接。此外,无人驾驶飞机“接近主流地位和被用作侦察平台,”一般都能和物联网产品“妥协的隐私。”
该CSA是参与云内推广最佳安全实践的云安全认证供应商。成员包括主要的云服务提供商。
构建安全发展
有一个安全的开发方法起动是关键,CSA表明在新的物联网的建议。这意味着开发者必须接近从一开始走的联网设备的安全要求和程序。
和开发商应该关心的CSA说。在实际暴露的和不安全的环境中分发物联网,因为它往往是,手段的安全性具有不仅仅是通信水平更得到执行。请注意,设备可以物理窃取,例如,和共享密钥解除。
类似于兰德在2015年发现的CSA说,安全是一个全新的概念,很多小厂家生产的设备。这可能是原因之一密码已在物联网被执行不力。
“安全不是一个商业驱动,”云联盟表示。缺乏标准和物联网找到一个专家谁的问题了解安全使问题进一步恶化。
低廉的价格点物联网设备,也同样是有问题的,在CSA说。这意味着它很容易让黑客获取产品的研究。加上“在嵌入式系统中的资源约束限制安全选项” - 他们没有足够的处理能力,例如。
除了上述安全开发方法,从CSA新软件的指导建议,应该评估的编程语言,并寻求指导,对那些特定语言的安全性。还有要记得检查智能手机上的应用程序运行。
框架和平台的安全功能也应先评估。
此外,隐私保护,必须建立,CSA说。这包括收集必要的数据的最小量。该CSA强调,硬件必须具有基于硬件的安全控制,太。这意味着从提取数据,比如,从内部硬件组件停止黑客。它们可以被识别,即使无人盯防。
而这导致的网络通信协议,它具有安全隐患的选择。数据必须受到保护。该CSA的报告包括对不同类型的通信网络,以及它们如何在物联网设备的安全方案发挥全面的纲要。
添加到列表原料药必须从DDoS攻击受到保护,设备必须安全更新固件的坐板上修改。这种授权必须优化凭据盗窃避免和密钥必须进行安全管理。
考虑到日志机制,看看谁正在访问的设备很重要。最后,它表明运行安全审查。该开放Web应用安全项目(OWASP)提供反馈和优化工具的是,CSA说。