現(xiàn)在，很多公司都希望尋求物聯(lián)網(wǎng)來提高產(chǎn)品競爭力，用來超越對手或者提高產(chǎn)品利潤。在一些市場營銷宣傳影響下，人們可能會相信自己需要一個能在回家前5分鐘把水燒開的智能水壺，這樣就可以在進門后幾分鐘內(nèi)喝上一杯熱茶……

[[253018]]

根據(jù)研究機構(gòu)Gartner公司的報告，到2020年，大約有208億個物聯(lián)網(wǎng)設(shè)備可以連接到互聯(lián)網(wǎng)，隨著無所不在的成本更低的傳感器的處理能力提高，以及帶寬的推動，每天將增加約550萬個設(shè)備。此外，到2020年，一半以上的主要新業(yè)務(wù)流程和系統(tǒng)將納入物聯(lián)網(wǎng)的一些要素。

如果說您也正在考慮采購物聯(lián)網(wǎng)設(shè)備，有些因素你需要慎重考慮一下。

1. 購買前

(1) 制造商是否可靠?他們有能力在產(chǎn)品的整個生命周期內(nèi)維持運營嗎?

如果你希望自己部署的產(chǎn)品能夠為企業(yè)服務(wù)5-10年，但是提供該產(chǎn)品的公司連一年都維持不了就消失了，那還談什么售后保障呢!

(2) 該產(chǎn)品是同類產(chǎn)品中的首創(chuàng)，還是與其他產(chǎn)品存在競爭關(guān)系?

這個問題的關(guān)鍵在于，有些公司會選擇犧牲一些東西，以便率先進入市場，而最典型地犧牲內(nèi)容之一就是產(chǎn)品安全性。

(3) 產(chǎn)品供應(yīng)商發(fā)布更新的頻率如何?

如果一件產(chǎn)品已經(jīng)面市了多年，但卻尚未發(fā)布過任何更新，你可能需要詢問其供應(yīng)商是否切實地維護過其產(chǎn)品。

(4) 固件是自動更新還是需要手動干預(yù)?

雖然你可能希望對某些關(guān)鍵任務(wù)設(shè)備進行手動更新控制，但是有些產(chǎn)品可能無法實現(xiàn)這種部署方式，因此，預(yù)先了解自身對正在運行的軟件版本的控制程度十分重要。

(5) 產(chǎn)品中是否存在已報告的漏洞?

如果供應(yīng)商發(fā)布有關(guān)產(chǎn)品漏洞的公告，不要將其視為“壞事”。因為沒有產(chǎn)品是完全安全的，重要的是要看供應(yīng)商對漏洞的態(tài)度和響應(yīng)行為。真正令人擔(dān)憂的是那些對漏洞信息毫無反應(yīng)，甚至試圖掩蓋關(guān)鍵漏洞的供應(yīng)商。

(6) 供應(yīng)商是否已設(shè)立安全頁面?

該頁面應(yīng)該包含過去出現(xiàn)過的安全問題、更新和聯(lián)系信息。如果他們的網(wǎng)站上不存在任何形式的安全內(nèi)容和聯(lián)系人，那么該供應(yīng)商顯然是不過關(guān)的。

2. 購買后30天內(nèi)

(1) 如果設(shè)備包含接入點(簡稱AP)，則應(yīng)檢查AP是否未打開。

很多產(chǎn)品多年來都忽略了這一點(未曾打開AP)，結(jié)果在從無線網(wǎng)絡(luò)中取消認證時，就會創(chuàng)建一個開放的、不安全的無線接入點。

對此進行測試的方法很簡單，就是將設(shè)備與無線網(wǎng)絡(luò)關(guān)聯(lián)，然后拔下無線網(wǎng)絡(luò)約10分鐘。如果你看到自己的設(shè)備隨AP出現(xiàn)在移動設(shè)備上，則說明它并未打開。

(2) 任何相關(guān)的云接口有多強大?

接口是否允許單點登錄?它是否允許多因素身份驗證?重要的是，您使用的任何Web界面都要能夠提供安全性，讓您高枕無憂。

(3) 哪些數(shù)據(jù)在云端傳輸(進來/出去)?

你是否知道正通過新的IoT設(shè)備離開網(wǎng)絡(luò)的是哪些數(shù)據(jù)?該設(shè)備允許進入您網(wǎng)絡(luò)的流量又是多少?

(4) 實際更新固件有多容易/困難?

在采購設(shè)備之前，您通常已經(jīng)了解了固件更新是手動還是自動的。但是，您無法確認安裝過程中涉及的步驟。我傾向于支持允許單鍵升級的應(yīng)用程序，而不是冗長乏味的手動更新過程。

(5) 接口是否足夠安全?

如果您能夠確認下述信息那就更好了：它是否需要對關(guān)鍵操作進行身份驗證?您的本地網(wǎng)絡(luò)上是否存在不需要憑據(jù)的開放API?憑據(jù)是以純文本形式發(fā)送的嗎?

(6) 完成端口掃描

非常重要的一點是，您需要了解清楚在您的網(wǎng)絡(luò)上哪些服務(wù)是開放的，以及哪些服務(wù)正在竊聽您的網(wǎng)絡(luò)行為。

(7) 書寫評論

我認為，大多數(shù)產(chǎn)品評論根本毫無用處。他們要么是付費評論員，沒有真正地使用過產(chǎn)品;要么就是缺乏提供有效技術(shù)意見的能力。您可以用簡單地文字撰寫產(chǎn)品評論，描述清楚產(chǎn)品的利弊，討論產(chǎn)品的安全性，為潛在購買者提供有效的信息。

3. 深度自檢表

(1) 審核設(shè)備固件

如果您不確定從哪里開始，有一些課程可以幫助您解決這個問題。它可以提供一種很好的機制來查找和識別漏洞。

(2) 審核設(shè)備的Web界面

與固件一樣，確切了解設(shè)備的工作原理是確保您在使用產(chǎn)品時能夠保持安全的***方法。

(3) 接觸供應(yīng)商安全團隊

您接觸他們不必非要為了產(chǎn)品安全問題，你也可以測試他們對協(xié)作的響應(yīng)能力和開放性。明確地了解供應(yīng)商的安全團隊如何應(yīng)對問題非常重要。

(4) 尋找該設(shè)備的其他用戶

您可以尋找一個subreddit論壇或郵件列表，供用戶聚在一起討論該產(chǎn)品屬性。這些社交論壇經(jīng)常會分享一些用戶并未察覺的漏洞信息，是真正提供學(xué)習(xí)和分享機會的好地方。

(5) 參加培訓(xùn)課程

如果你想要深度探索物聯(lián)網(wǎng)設(shè)備采購這門學(xué)問，建議您可以選擇一門課程來幫助您更好地準備設(shè)備審核過程。擁有常見IoT設(shè)備工具包可以幫助您更輕松地識別自身設(shè)備中的錯誤。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文