物聯網開發(fā)人員需要了解的網絡安全標簽

物聯網開發(fā)人員需要了解的網絡安全標簽

隨著物聯網和網絡犯罪分子的增長，物聯網設備的安全性已經成為一個更加突出的問題。監(jiān)管機構在適應這些趨勢方面進展緩慢，但這種情況正在改變。許多新興法律和可選認證旨在讓物聯網開發(fā)人員遵守更高的標準。

FCC和NIST的美國網絡信任標志，旨在幫助消費者識別值得信賴的物聯網設備。其他國家也已經采取了類似的計劃。在這一趨勢中，消費者的安全意識將會提高，使得物聯網安全標準對于保持競爭力變得越來越重要。

美國網絡信任標志

美國政府于2022年宣布了物聯網標簽計劃，并于2023年將其再次確定為網絡信任標志。最終的法規(guī)仍在制定中，但監(jiān)管機構預計其將于2024年生效，開發(fā)人員可以通過審查NIST的推薦標準來做好準備。

其中一些建議直接適用于開發(fā)人員，包括工作流程實踐，例如持續(xù)更新和文檔。大多數人關注設備本身，關注硬件和軟件安全性，特別是當它們影響用戶的知識水平和保護這些端點的能力時。

網絡信任標志是一項自愿計劃，但不推行該計劃可能存在風險。消費者愿意為安全的物聯網設備支付更高的費用，而信任標志將高安全性選項與安全性較低的替代品區(qū)分開來。因此，其生效后可能會影響物聯網銷售。

全球物聯網網絡安全標簽要求

美國網絡信任標志并不是唯一需要考慮的物聯網設備安全標簽。國際上也存在類似的計劃，影響到那些產品在非美國市場銷售的開發(fā)者，就像GDPR適用于在歐洲運營的美國企業(yè)一樣。

考慮到2022年該地區(qū)的物聯網收入達到477億美元，歐洲應該是全球開發(fā)商特別關注的焦點。歐盟的《網絡彈性法案》(CRA)包括類似于網絡信任標志的物聯網規(guī)范。其他標簽計劃包括英國的《消費者物聯網安全行為準則》和新加坡的《網絡安全標簽計劃》(CLS)。

CRA是強制性法律，而CLS和英國實踐守則則是自愿性計劃。與網絡信任標志一樣，這些可能不會導致法律問題，但未能滿足更高標準可能會影響這些地區(qū)的業(yè)務。

開發(fā)人員如何實施物聯網安全標簽

即使物聯網安全標簽是可選的，實現它們也意味著確保設備滿足更高的標準。這些標準的證明使物聯網產品對注重安全的市場更具吸引力。以下是開發(fā)人員如何通過擁抱這些計劃來利用這個機會。

審查適用標準

從監(jiān)管的角度來看，物聯網設備安全的第一步是審查要遵守哪些法律或標準。雖然標簽計劃之間存在很多交叉，但具體要求會有所不同，因此決定最重要的要求很重要。

CRA對于瞄準歐洲市場的物聯網開發(fā)者而言是必須的，因為其是強制性的。而對于其他計劃，則應該考慮最大的客戶群在哪。如果想要實現多個標簽，則須以最嚴格的要求為目標。遵守這一標準，將使其更容易獲得其他具有全球吸引力的認證。

在審查要遵循哪些標準時，要避免堅持最低標準。超越將有助于獲得更高級別的認證，并最大限度地降低風險，以改善現實世界的結果。這與生產優(yōu)化類似，噴油壓縮機盡管配備了過濾器，但仍可能污染多氯聯苯，因此無油選擇是首選。

確保安全通信

許多主要標簽計劃要求物聯網端點具有安全通信協(xié)議。通常，這意味著默認情況下對傳輸中的數據進行加密，但除此之外的范圍還有待解釋。

英國的《消費者物聯網安全實踐準則》建議，加密措施取決于使用環(huán)境，并且可以不斷發(fā)展。因此，其不需要特定的方法，但建議開發(fā)人員根據數據、設備使用情況和當前威脅形勢確定適當的加密實踐。相比之下，CRA特別推薦傳輸層安全或消息隊列遙測傳輸。

可以將這些類型的加密作為選項包含在內，但最好默認啟用。這樣可以最大限度地減少了用戶錯誤危害物聯網設備安全的空間——這是許多標簽計劃的重點。

啟用威脅檢測

標準（包括美國網絡信任標志）也可能要求設備具有檢測和報告異常行為的方法。鑒于物聯網設備的處理能力有限，這可能會很棘手，但總有辦法可以解決。

如果沒有邊緣計算，人工智能支持的連續(xù)監(jiān)控可能不是一個選擇，但也不一定是必須具備的。相反，可以為正常設備行為建立基線。即使相對簡單的算法也可以檢測到行為何時超出這些參數并觸發(fā)警告消息。

這些警報應該發(fā)送給終端用戶和物聯網企業(yè)。這樣，無論誰在任何情況下對威脅負責，都可以及時做出響應。

確保透明度

用戶透明度是物聯網設備安全需要解決的另一個關鍵領域。網絡信任標志、CRA和其他標簽計劃都要求開發(fā)人員向終端用戶披露潛在的威脅。因此，必須讓用戶了解最佳實踐。

多達95%的網絡安全問題源于人為錯誤，但監(jiān)管機構傾向于將用戶教育的責任推給物聯網企業(yè)。如果人們不知道哪些行為有風險，就無法安全地采取行動，因此開發(fā)人員必須促進更安全的使用。

理想情況下，設計應盡量減少人為錯誤的空間，但提供選擇總是意味著接受一些與錯誤相關的風險。要解決此問題，需檢查產品以了解某些用戶行為可能會在何處產生漏洞。在用戶手冊中討論這些危險行為，并建議更安全的替代方案或最佳實踐，例如創(chuàng)建強而獨特的密碼。

測試產品并提供持續(xù)支持

測試是許多物聯網標簽計劃的另一個重要方面。許多軟件在發(fā)布之前都需要測試，以確保符合更高的安全標準。在提交設計以獲得監(jiān)管批準之前進行測試是不必要的，但建議簡化流程。

新加坡基于分層的CLS的最高級別需要第三方滲透測試來驗證設備安全性。其他標準沒有走得那么遠，但是無論如何，采用這些獨立的測試是一種有效的臨時安全監(jiān)督方法。

同樣，幾乎所有標簽計劃都需要持續(xù)的測試和支持。這意味著定期研究新出現的風險，并發(fā)布OTA更新來解決這些風險?？紤]到更新中毒風險，安全啟動、代碼簽名和加密更新身份驗證措施等功能都至關重要。

網絡安全標簽對于物聯網開發(fā)人員至關重要

隨著消費者越來越意識到物聯網的安全風險，其標準將會提高。標簽計劃符合這些標準，為物聯網開發(fā)人員提供了一種證明其產品安全性的方法。

在某些情況下，滿足這些標簽要求可以避免監(jiān)管罰款。在其他方面，也幫助利用不斷變化的市場。無論如何，其都是在日益監(jiān)管和安全的市場中競爭的關鍵部分。

相關推薦：

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。