如何避免設(shè)計的物聯(lián)網(wǎng)有缺陷

物聯(lián)網(wǎng)之前的設(shè)備只是設(shè)備。他們使用代碼進(jìn)行操作，以滿足特定目的?，F(xiàn)在，所有這些設(shè)備都通過中央控制系統(tǒng)和服務(wù)相互連接并相互通信，因此受到攻擊的風(fēng)險也呈指數(shù)級增長。

讓我們首先看一下IoT系統(tǒng)漏洞往往會發(fā)生的地方：

? 在設(shè)備級別 - 一些認(rèn)為，如果他們可以阻止攻擊者離開他們的網(wǎng)絡(luò)，他們就不必?fù)?dān)心單個設(shè)備的安全性。但是，讓攻擊者遠(yuǎn)離網(wǎng)絡(luò)幾乎是不可能的，特別是當(dāng)你接受單個惡意雇員，承包商，供應(yīng)商或客戶可能成為內(nèi)部黑客威脅的可能性時。

? 在軟件級別 - 物聯(lián)網(wǎng)設(shè)備的最大攻擊面是設(shè)備上運行的軟件以及與之通信的服務(wù)器。物聯(lián)網(wǎng)組織可能會從軟件行業(yè)手冊中獲取一頁，強調(diào)在設(shè)計，實施和部署的所有階段進(jìn)行持續(xù)的軟件測試。最負(fù)責(zé)任的軟件公司還通過在編寫單行代碼之前對開發(fā)人員，測試人員和工程師進(jìn)行適當(dāng)培訓(xùn)，確保將安全性內(nèi)置到他們的應(yīng)用程序中。

在部署新的（或增強現(xiàn)有的）物聯(lián)網(wǎng)系統(tǒng)時，其安全性必須優(yōu)先于其功能?？紤]到這一點，在需求，架構(gòu)和設(shè)計階段應(yīng)充分記錄安全需求和系統(tǒng)漏洞。

對于物聯(lián)網(wǎng)設(shè)備，架構(gòu)階段是功能在硬件和軟件之間分配的地方。對于整個物聯(lián)網(wǎng)系統(tǒng)，這可能是確定外部安全相關(guān)服務(wù)的地方，例如驗證碼，證書服務(wù)或其他形式的雙因素身份驗證。除了詳細(xì)說明物聯(lián)網(wǎng)系統(tǒng)如何滿足要求之外，還可以定義各種與安全相關(guān)的支持參數(shù)，例如參數(shù)化的用戶ID，設(shè)備ID，密碼，令牌，證書，登錄時間和訪問權(quán)限。

以下是要考慮的事項清單：

用戶訪問權(quán)限

? 用戶如何訪問物聯(lián)網(wǎng)系統(tǒng)？

? 他們可以直接登錄云帳戶或物聯(lián)網(wǎng)設(shè)備嗎？

? 是否有提供訪問權(quán)限的移動應(yīng)用程序？

? 有哪些認(rèn)證機制？

? 用戶分類是什么？這些分類將影響可訪問的資源和服務(wù)。

? 哪些用戶可以訪問哪些資源和服務(wù)？

? 誰可以更改信息？

? 每個用戶角色可以使用哪些特性和功能？

? 每個用戶需要進(jìn)行哪些安全檢查？

? 應(yīng)該使用密碼和/或引腳嗎？

? 是否應(yīng)提供電子代幣或證書？

? 也許動態(tài)Captchas可以用來確定一個真實的人是否正在訪問物聯(lián)網(wǎng)系統(tǒng)？

設(shè)備訪問

? 哪些類型的設(shè)備可以連接到系統(tǒng)？與用戶訪問一樣，確定擴展到這些外部設(shè)備的訪問類型。

? 他們可以查詢信息嗎？

? 他們能控制某些特征和功能嗎？

? 允許移動設(shè)備訪問？

? 允許哪些診斷工具？

? 外部基于云的系統(tǒng)或以前未知/新的物聯(lián)網(wǎng)設(shè)備怎么樣？

? 設(shè)備如何連接到物聯(lián)網(wǎng)系統(tǒng)？

? 無線？

? 有線？

? 互聯(lián)網(wǎng)/ IP？

? 什么是設(shè)備分類？

? 用戶可以更改信息嗎？

? 他們能控制某些特征和功能嗎？

? 他們可以授予其他用戶或設(shè)備訪問系統(tǒng)的權(quán)限嗎？

? 他們可以查詢信息嗎？

? 對于每個外部設(shè)備，需要什么類型的安全檢查？

? 是否應(yīng)提供電子代幣或證書？

? 加密狗應(yīng)該物理連接嗎？

? 它們與用戶訪問有何關(guān)系？