您是否有點擔心物聯網設備的安全隱患?美國國家標準與技術研究院(NIST)剛剛發佈了一份文件,以幫助物聯網用戶保護自己免受物聯網安全問題的影響。
管理物聯網(IoT)網路安全和隱私風險(NIST IR 8228)的注意事項借鑒了NIST網路安全框架中的一般網路安全原則,並使其適應物聯網時代,它是旨在幫助組織更好地了解物聯網安全風險。
該指南確定了物聯網設備的網路安全和隱私風險考慮因素,然後再探討緩解這些問題的一些挑戰。最後,它提出了一些廣泛的建議。
它警告IoT設備與實體世界的互動,可能會改變實體系統。它們還可以收集大量有關個人的數據。
IT團隊應通過適當的資產管理(維護適當的物聯網設備庫存)和漏洞管理(消除設備固體中的已知漏洞)來保護設備安全。他們還應該仔細管理對設備的訪問,並監控它們的數據和設備安全事件。報告補充說,他們應該防止數據篡改,管理個人數據流,同時為個人數據處理設置權限。
報告警告說,物聯網設備通常無法像一般IT設備那樣被訪問,管理或監控。他們經常採用“黑箱測試”方式,完全缺乏界面或管理功能。其中一些甚至沒有特有的識別碼。這些缺點可能會限制事件日誌等網路安全信息的可用性。
NIST提出了一些應對這些挑戰的建議。這些包括識別哪些設備具有物聯網特徵及其類型,評估每個設備的風險,然後通過接受,避免,減輕,共享或轉移來建立應對該風險的策略。
這是一份高級文檔,但它只是NIST在物聯網安全方面的一系列進一步文檔的開始。實際上,NIST刪除了本文檔中最初含蓋的附錄,其中給出了物聯網設備所需的網路安全和隱私功能的範例。報告補充說,它將在另一份出版物中發佈。
在一個充斥著物聯網設備的行業中,從運輸系統到水和能源網路管理的所有內容,看到物聯網安全的權威指南,真的讓人很高興!
Source: https://www.infosecurity-magazine.com/infosec/nist-iot-security-guidelines/