物聯(lián)網(wǎng)（IoT）

物聯(lián)網(wǎng)（IoT）幾乎用于我們?nèi)粘Ｉ畹姆椒矫婷?，包括擴(kuò)展到工業(yè)部門和應(yīng)用（即工業(yè)物聯(lián)網(wǎng)（IIoT））。物聯(lián)網(wǎng)和IIoT構(gòu)成了一個(gè)快速增長(zhǎng)的領(lǐng)域，帶來(lái)了獨(dú)特的安全挑戰(zhàn)。[從這一點(diǎn)開(kāi)始第四，當(dāng)我們使用物聯(lián)網(wǎng)時(shí)，我們包括IIoT。其中一些在網(wǎng)絡(luò)物理系統(tǒng)安全CyBOK知識(shí)領(lǐng)域中進(jìn)行了考慮，但我們?cè)谶@里專門考慮了軟件生命周期問(wèn)題。必須安全地配置設(shè)備，這些設(shè)備與云之間的連接必須安全，并且必須保護(hù)存儲(chǔ)和傳輸中的數(shù)據(jù)。然而，這些設(shè)備體積小，價(jià)格便宜，資源有限。制造商可能認(rèn)為將安全性內(nèi)置到每個(gè)設(shè)備中并不具有成本效益，具體取決于設(shè)備的價(jià)值及其收集的數(shù)據(jù)的重要性?；贗oT的解決方案通常具有大量地理位置分散的設(shè)備。由于這些技術(shù)挑戰(zhàn)，物聯(lián)網(wǎng)存在信任問(wèn)題，其中大多數(shù)目前沒(méi)有解決方案，需要研究。然而，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）推薦了四種開(kāi)發(fā)基于物聯(lián)網(wǎng)的安全系統(tǒng)的實(shí)踐。

1.    使用射頻識(shí)別（RFID）標(biāo)簽。傳感器及其數(shù)據(jù)可能會(huì)被干擾、刪除、丟棄或不安全傳輸。市場(chǎng)上存在假冒“東西”。唯一標(biāo)識(shí)符可以通過(guò)將射頻識(shí)別（RFID）標(biāo)記附加到設(shè)備來(lái)緩解此問(wèn)題。讀卡器激活標(biāo)簽，使設(shè)備在國(guó)際上政府為RFID使用保留的帶寬內(nèi)廣播無(wú)線電波。無(wú)線電波傳輸引用與設(shè)備關(guān)聯(lián)的唯一信息的標(biāo)識(shí)符或代碼。

2.    不使用或允許使用默認(rèn)密碼或憑據(jù)。IoT設(shè)備的開(kāi)發(fā)通常不會(huì)要求用戶和管理員在系統(tǒng)設(shè)置期間更改默認(rèn)密碼。此外，設(shè)備通常缺乏用于更改憑據(jù)的直觀用戶界面。建議的做法是要求更改密碼或在直觀的界面中進(jìn)行設(shè)計(jì)?；蛘撸圃焐炭梢噪S機(jī)化每個(gè)設(shè)備的密碼，而不是使用少量的默認(rèn)密碼。

3.    使用制造商使用說(shuō)明（MUD）規(guī)范。制造商使用說(shuō)明（MUD）28規(guī)范允許制造商指定授權(quán)和預(yù)期的用戶流量模式，通過(guò)限制與設(shè)備之間的通信到目標(biāo)源和目標(biāo)來(lái)減少物聯(lián)網(wǎng)設(shè)備的威脅面由制造商提供。

4.    開(kāi)發(fā)安全升級(jí)過(guò)程。在非物聯(lián)網(wǎng)系統(tǒng)中，更新通常通過(guò)安全進(jìn)程提供，在該過(guò)程中，計(jì)算機(jī)可以對(duì)推送補(bǔ)丁以及功能和配置更新的源進(jìn)行身份驗(yàn)證。物聯(lián)網(wǎng)制造商通常沒(méi)有建立這樣的安全升級(jí)過(guò)程，這使得攻擊者能夠?qū)υO(shè)備進(jìn)行自己的惡意更新的中間人推送。IoT固件更新體系結(jié)構(gòu)29提供有關(guān)實(shí)施安全固件更新體系結(jié)構(gòu)的指導(dǎo)，包括定義設(shè)備制造商應(yīng)如何操作的硬規(guī)則。

此外，英國(guó)數(shù)字、文化、媒體和體育部還提供了消費(fèi)者物聯(lián)網(wǎng)安全行為準(zhǔn)則。行為準(zhǔn)則中包括13條準(zhǔn)則，用于提高消費(fèi)者物聯(lián)網(wǎng)產(chǎn)品和相關(guān)服務(wù)的安全性。其中兩個(gè)準(zhǔn)則與上面的NIST項(xiàng)目符號(hào)2和4重疊。

指南的完整列表包括以下內(nèi)容：

（1）沒(méi)有默認(rèn)密碼;（2）實(shí)施漏洞披露政策;（3）保持軟件更新;（4）安全存儲(chǔ)憑據(jù)和安全敏感數(shù)據(jù);（5）安全通信（即對(duì)敏感數(shù)據(jù)使用加密）;（6）盡量減少暴露的攻擊面;（6）確保軟件完整性（例如使用安全啟動(dòng)）;（8）確保個(gè)人數(shù)據(jù)受到保護(hù)（即根據(jù)GDPR）;（9）使系統(tǒng)能夠抵御中斷;（10）監(jiān)控系統(tǒng)遙測(cè)數(shù)據(jù);（11）方便消費(fèi)者刪除個(gè)人資料;（12）使設(shè)備的安裝和維護(hù)變得容易;（13）驗(yàn)證輸入數(shù)據(jù)。

最后，Microsoft提供了物聯(lián)網(wǎng)安全架構(gòu)。