在2021年,您将拥有比以往任何时候的网络上的连接设备,特别是如果您是在医疗保健,零售或物流,那么早期采用者之间的行业事情互联网(物联网)。您将拥有网络边缘的设备,在您的总部,在车辆,在您的商店,员工家庭和公共财产中的车辆。
这些物联网设备中有很好的机会可以危及您的网络内置的安全漏洞。在尝试利用Connected商业设备的贪婪全球胃口中,许多IOT制造商和开发人员正在铲除企业IOT设备,我们会说,不同于安全级别。
如果在建立了连接设备的新强制性最低安全标准,则在不久的将来可能有一些帮助。物联网网络安全改进法案,该公司于2020年12月4日由总统特朗普签署法律。
该法指示国家标准和技术研究所(NIST)为政府机构购买的任何设备创建和系统地更新IOT安全标准。可能有助于政府以外的企业专业人士的原因是预计标准将影响私营部门企业。尽管如此,法律仍然无法帮助已经连接到网络的数十亿个旧的IOT设备或等待购买的设备,或者在现在和何时设置标准,制造商和开发人员开始遵守它们。
那么企业专业人士是什么?
因为它的部分,NIST已经致力于IOT安全,并准备了四个草案文件它说“将有助于解决”IOT网络安全改进法“中提出的挑战。其中三个是为制造商编写的,并建议他们在设计和构建安全物联网设备时可能遵循的指导方针。第四个是关于可能购买这些设备的组织应该在购买它们时要求。“该文件有背景和建议,帮助各机构考虑IoT设备需要为原子能机构提供哪些安全功能来集成它,”NIST宣布四个文件。
尽管是草稿,但他们目前表格的文件可以提供有价值的指导。
另一个好的步骤:熟悉自己八个关键安全原则由安全事物互联网创建的IOT设备,倡导安全标准和遵守的行业联盟:
- 没有通用密码
- 安全界面
- 经过验证的加密
- 默认情况下的安全性
- 验证软件
- 自动安全更新
- 漏洞报告计划
- 安全到期日期
如果您正在考虑为自己的网络考虑的IoT设备未能满足上述一个或多个原则,您可能应该寻找更安全的替代方案,即使这意味着什么也不是。至少您不会使用不安全的IOT设备危及您的网络。
如果您有时间和资源,另一种选择是测试设备,以评估他们的可靠性,如Laurens Leemans,Cofounder,共同所有者以及Signips的领导开发人员,其经验是一种警示故事。
回到2月,莱姆人召开,在一个推特线程标题为“InfoSec Fail Thread”,对其公司的IOT设备进行了快速评估,他的公司正在考虑提供客户。该设备是一种用于跟踪建筑物或公共场所的人员的计数器系统。
首先,莱姆人明确说他是谨慎的。“根据常规,我通常会在为客户提供之前对产品进行一些基本的安全/理智检查,”他写道。然后,这是一个叙述行动中的“最佳实践”。
“所以,我们支持它,并遵循指令以设置它。它通过以太网供电,但也有Wi-Fi计算传递它的设备数量。
“引起了我们注意的第一件事是它设置了一个网络,具有广播的SSID和默认密码。有点奇怪,因为它也通过以太网连接,但很好。任何。除了:您无法更改SSID或密码!“
从那里迅速地解开的东西,到标志和设备制造商处于令人讨厌的公众之中吐满这涉及勒索的指责,警察报告,报业文章,以及不知何故,布鲁诺火星的音乐。
正如莱姆人所做的那样,你不必与你的IoT尽职调查一起去。但他提供了一个优秀的典范:如何利用如何和应该通过它的步伐运行连接的设备,在引擎盖下获得,真的兽医它而不是将它插入网络并希望最好,因为您是乐观和信任。