在一系列利用IoT設(shè)備默認安全設(shè)置的大規(guī)模分布式拒絕服務(wù)攻擊發(fā)生后，美國兩個政府機構(gòu)發(fā)布了有關(guān)IoT安全的安全指導(dǎo)文件。

美國國土安全部（DHS）和國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）同時發(fā)布了針對IoT的安全建議。專家稱，DHS的IoT安全指南側(cè)重于基礎(chǔ)部分，而NIST為企業(yè)提供了更多操作方法。

DHS的IoT安全指南提出了六項戰(zhàn)略原則，旨在為IoT開發(fā)人員、制造商、服務(wù)提供商和消費者“提供方法以幫助他們在開發(fā)、制造、部署或使用聯(lián)網(wǎng)設(shè)備時全面確保安全性”。DHS建議在設(shè)計階段部署IoT安全，推送安全更新，采用經(jīng)過驗證的安全做法，優(yōu)先考慮高風(fēng)險問題，提高透明度以及謹慎使用IoT設(shè)備。

Fortinet公司全球安全策略是Derek Manky稱，DHS提供的基礎(chǔ)部分是IoT安全指南最佳策略。

“現(xiàn)在很多團隊都應(yīng)該關(guān)注基礎(chǔ)部分，但不幸的是，直到數(shù)百萬IoT設(shè)備在世界各地部署，大家才注意這個問題，”Manky稱，“我認為最好的方法是現(xiàn)在開始關(guān)注基礎(chǔ)部分，從IoT的角度來看，并沒有任何最佳安全和開發(fā)做法，第一步是應(yīng)該是開發(fā)正確的框架，然后開始改變IoT開發(fā)人員的心態(tài)。”

Prpl基金會董事長Art Swift稱，DHS為IoT安全做法設(shè)定了良好的基準(zhǔn)。

“雖然這看起來很基本，但這些正是制造商和開發(fā)人員需要做的事情，以幫助改善物聯(lián)網(wǎng)的安全性，”Swift說，“但DHS并沒有提供如何執(zhí)行其建議的實際操作方法。”

IoT網(wǎng)絡(luò)安全公司Senrio副總裁Jamison Utter稱：“對于任何管理機構(gòu)，在這個階段，最重要的是執(zhí)行具有高影響力但非常可實現(xiàn)的做法。”

“例如，在設(shè)計階段部署安全性部分涉及默認啟用安全性，”Utter稱，“更改默認密碼可能可很好地抵御攻擊，且90%都很容易操作。”

Manky認為Mirai僵尸網(wǎng)絡(luò)攻擊很好地證明，從一開始部署安全性是IoT安全中最重要的問題之一。

“Mirai被證明是通過非常簡單的操作來積累其巨大攻擊力量：試圖使用默認用戶名和密碼登錄設(shè)備。如果開發(fā)人員刪除默認用戶名和密碼，這幾乎可阻止這種僵尸網(wǎng)絡(luò)，”Manky說道，“從一開始就考慮安全性意味著部署Common Weakness Enumeration等做法來評估產(chǎn)品的安全狀態(tài)，可避免硬編碼和默認密碼之類的東西。”

然而，Utter稱DHS的IoT安全指南并沒有談?wù)撨^多技術(shù)細節(jié)。

“這個指導(dǎo)文件似乎談得比較寬泛。而其實，對于IoT還根本無法實現(xiàn)漏洞管理等做法，”Utter稱，“它還有些傳統(tǒng)思維和假設(shè)，例如IoT仍然是一個‘網(wǎng)絡(luò)問題’，我們認為IoT是始終連接始終在線的問題。這個指導(dǎo)文件很好；但如何部署這些建議方面則有些缺乏。”

Manky稱：“DHS指導(dǎo)文件解釋了什么以及為什么，如果你想了解更多，NIST的指導(dǎo)文件為你提供了操作方法。”

根據(jù)新的NIST特刊800-160，“對于管理當(dāng)今系統(tǒng)不斷增加的復(fù)雜性、動態(tài)性以及互聯(lián)性，基于工程的解決方案是關(guān)鍵，這可以網(wǎng)絡(luò)物理系統(tǒng)和系統(tǒng)之系統(tǒng)（包括物聯(lián)網(wǎng)）為例。該指導(dǎo)文件指出應(yīng)采用工程驅(qū)動的視角和行動來開發(fā)更安全和可行的系統(tǒng)，包括構(gòu)成這些系統(tǒng)的機器、物理和人類組成部分以及這些系統(tǒng)提供的功能和服務(wù)。”

Swift指出，現(xiàn)在是時候讓整個行業(yè)參與并部署必要的改變，以讓物聯(lián)網(wǎng)更加安全和可靠。

“在硬件層保護設(shè)備是確保IoT更加安全的最重要的方法之一，但使用開源軟件也是關(guān)鍵領(lǐng)域。制造商和開發(fā)人員不應(yīng)再依靠可被逆向工程的專有代碼，因為事實已經(jīng)一次又一次證明‘模糊安全’做法已經(jīng)不可行，”Swift指出，“通過使用開源部署--開放接受審查且更加安全，開發(fā)人員可基于安全第一的做法，然后在增值市場差異因素方面進行競爭。”

Manky稱贊這兩個新的IoT安全指南，因為它們可促進對該主題的更多討論。

“我們需要協(xié)作，不僅僅是在美國硅谷，每個垂直行業(yè)的制造商都應(yīng)該協(xié)作起來，”Manky指出，“這是我們多年來在技術(shù)領(lǐng)域一直在說的話，但IoT已經(jīng)涉及很多新的人，所以我們需要繼續(xù)重申這個觀點。這是下一波數(shù)字化發(fā)展趨勢，確保健康持續(xù)發(fā)展很重要。”