讓我們首先看一下IoT系統漏洞往往會發生的地方:
• 在設備級別 - 一些認為,如果他們可以阻止攻擊者離開他們的網絡,他們就不必擔心單個設備的安全性。但是,讓攻擊者遠離網絡幾乎是不可能的,特別是當你接受單個惡意雇員,承包商,供應商或客戶可能成為內部黑客威脅的可能性時。
• 在軟件級別 - 物聯網設備的最大攻擊面是設備上運行的軟件以及與之通信的服務器。物聯網組織可能會從軟件行業手冊中獲取一頁,強調在設計,實施和部署的所有階段進行持續的軟件測試。最負責任的軟件公司還通過在編寫單行代碼之前對開發人員,測試人員和工程師進行適當培訓,確保將安全性內置到他們的應用程序中。
在部署新的(或增強現有的)物聯網系統時,其安全性必須優先于其功能??紤]到這一點,在需求,架構和設計階段應充分記錄安全需求和系統漏洞。
對于物聯網設備,架構階段是功能在硬件和軟件之間分配的地方。對于整個物聯網系統,這可能是確定外部安全相關服務的地方,例如驗證碼,證書服務或其他形式的雙因素身份驗證。除了詳細說明物聯網系統如何滿足要求之外,還可以定義各種與安全相關的支持參數,例如參數化的用戶ID,設備ID,密碼,令牌,證書,登錄時間和訪問權限。
以下是要考慮的事項清單:
用戶訪問權限
• 用戶如何訪問物聯網系統?
• 他們可以直接登錄云帳戶或物聯網設備嗎?
• 是否有提供訪問權限的移動應用程序?
• 有哪些認證機制?
• 用戶分類是什么?這些分類將影響可訪問的資源和服務。
• 哪些用戶可以訪問哪些資源和服務?
• 誰可以更改信息?
• 每個用戶角色可以使用哪些特性和功能?
• 每個用戶需要進行哪些安全檢查?
• 應該使用密碼和/或引腳嗎?
• 是否應提供電子代幣或證書?
• 也許動態Captchas可以用來確定一個真實的人是否正在訪問物聯網系統?
設備訪問
• 哪些類型的設備可以連接到系統?與用戶訪問一樣,確定擴展到這些外部設備的訪問類型。
• 他們可以查詢信息嗎?
• 他們能控制某些特征和功能嗎?
• 允許移動設備訪問?
• 允許哪些診斷工具?
• 外部基于云的系統或以前未知/新的物聯網設備怎么樣?
• 設備如何連接到物聯網系統?
• 無線?
• 有線?
• 互聯網/ IP?
• 什么是設備分類?
• 用戶可以更改信息嗎?
• 他們能控制某些特征和功能嗎?
• 他們可以授予其他用戶或設備訪問系統的權限嗎?
• 他們可以查詢信息嗎?
• 對于每個外部設備,需要什么類型的安全檢查?
• 是否應提供電子代幣或證書?
• 加密狗應該物理連接嗎?
• 它們與用戶訪問有何關系?
京公網安備 11010502049343號