为可持续的连接设备安全奠定基础

物联网(IoT)成为数据驱动洞察力的无限丰富来源的原因也使其极易受到黑客和网络攻击。这是一个庞大且不断增长的连接设备复杂系统。

为可持续的连接设备安全奠定基础

保护这些设备对制造商、供应商、系统集成商和其他物联网利益相关者来说是具有挑战性的、相对较新的领域。新的安全合规性要求正在制定,例如汽车行业的ISO/SAE 21434和欧盟消费电子产品的ETSI EN 303 645。但是用于保护连接设备的框架,例如工业互联网联盟的物联网安全成熟度模型,才刚刚开始出现。网络安全框架应解决软件和硬件问题,包括组件。

不断增长的物联网威胁形势和日益复杂的网络攻击者将继续推动对全面网络安全标准和指南的需求。最近的立法也强调了这种需要。2020年12月,美国国会通过了《物联网网络安全改进法案》,该法案要求美国国家标准与技术研究院(NIST)制定和发布指南,以提高物联网设备的网络安全性。该法案适用于拥有联网设备的联邦机构。2020年1月,美国第一部物联网网络安全法在加利福尼亚州和俄勒冈州生效,规定了在这些州销售的物联网设备的安全功能要求,无论设备是在哪里制造的。

2021年5月,约瑟夫·拜登总统发布了一项关于改善国家网络安全的行政命令,规定了联邦政府保护IT和运营技术(OT)系统的标准和要求,无论是本地、基于云还是混合。该命令规定了以下措施:

  • 帮助消除共享威胁信息的障碍。
  • 使联邦网络安全现代化。
  • 增强软件供应链安全性。
  • 建立网络安全审查委员会。
  • 标准化联邦政府如何应对网络安全漏洞和事件。
  • 改进对联邦网络上的漏电电缆配线的检测。
  • 增强政府调查整改能力。

总统的命令还要求联邦政府与私营部门合作,帮助确保产品的安全制造和运营。

满足立法和行业合规性要求应该是公司综合产品安全计划的一部分。与保护IT资产和企业网络一样,您无法仅以被动方式处理连接设备的安全性。可持续、持久的产品网络安全态势需要对治理和流程采取深思熟虑的整体方法。

从评估您的安全成熟度开始

没有两个组织处于产品安全成熟度的完全相同阶段。成熟度路径需要定期评估您的网络安全状况,因为它与业务目标和目标以及在整个生命周期中促进和维护产品安全的人员、流程和技术相关。

治理包括确定您的产品安全计划中的人才缺口,由于全球网络安全技能短缺,这可能很重要。您需要经过适当培训的内部员工或第三方专家来预测、识别和减轻潜在的连接设备和系统漏洞、网络攻击和其他物联网网络安全风险。在这些情况下,威胁建模专业知识可能是无价的,从产品设计阶段的早期就开始了。

威胁建模可以帮助您确定连接的设备及其周围系统最容易受到攻击的位置,包括潜在的攻击媒介和高价值资产的攻击路径。它还可以揭示主要风险以及减轻这些风险所需的控制或机制。根据微软出版社发布的《Writing Secure Code》,称职的威胁建模可以防止大约50%的潜在漏洞发生。

此外,为了以最佳方式管理风险并最大限度地减少漏洞,您不应在公司内的产品线之间改变治理和流程。一致性很重要。

通过设计拥抱安全性

很少有制造商在产品设计中考虑传统上未联网设备的安全性,这使得物联网对此类产品尤其具有挑战性。将安全性融入所有产品设计阶段被证明至关重要

产品设计、开发和实施。在发现漏洞时修补安全漏洞和解决漏洞永远不会像从一开始就设计尽可能安全的设备那样有效。

安全设计在物联网环境中越来越受欢迎。这种方法包括诸如持续产品测试、身份验证保护和遵守最佳编程实践等措施。

不要忽视组件安全

如果您连接的设备包含第三方组件,您需要确保有一个流程来评估可能源于这些组件的潜在漏洞。您需要询问供应商的安全状况和安全成熟度。

获得供应商组件的透明度和清晰度通常意味着了解连接设备中固件实施的安全性和合规性状态。此类检查通常通过扫描开发中的固件来完成。组织经常将固件扫描外包给第三方测试供应商。供应商提供一份报告详细信息,例如固件中检测到的已知和未知漏洞、根据支持的行业标准进行合规性准备分析以及生成包含重要供应商安全数据的软件物料清单的能力。

开源软件在物联网安全中发挥着重要作用,因此您应该尝试通过频繁扫描和监控组件来检测和修复这些漏洞,以免它们成为现场问题。

在当今高度互联的世界中,公司需要开发和维护整体的产品安全治理和流程。在坚实的基础上构建这些实践将帮助您使产品开发过程符合行业标准和合规性要求;主动识别改进流程、安全技术和控制的措施;并在安全成熟的道路上前进。