将IoT安全指南应用于设备开发和部署

信息安全并未与世界越来越多地对网络连接技术的依赖不断。在急于首先推向市场，大多数开发人员和物联网设备制造商都未能评估其产品的安全姿势。这创造了一个现有的情况，现在有数百万的脆弱设备在世界各地部署 - 在家庭，企业和城市。

为了鼓励更好的做法并创建安全的物联网发展框架，美国国土安全部（DHS）和国家标准与技术研究所（NIST）已释放了安全指南的事物互联网。

是否以任何方式对其组织内的某种方式负责的人，无论是开发IOT设备或部署它们，应该阅读DHS出版物 - 事物互联网事实表和“保护事物互联网的战略原则” - 因为他们很快将读者带到了需要寻址的问题上的速度。该文件概述了六项法制权IOT的战略原则，即：

1. 在设计阶段合并安全性
2. 促进安全更新和漏洞管理
3. 建立公认的安全实践
4. 根据潜在影响，安全措施优先考虑
5. 促进IOT的透明度
6. 仔细和故意连接

通过Microsoft的软件开发过程安全开发生命周期和开放式Web应用程序安全项目，软件行业已经大量推广了前四个IOT安全指南。但是，IOT设备通常由具有很少或没有经验的公司制造如何保护产品可通过连接世界的其余部分访问。因此，即使建议可能出现基本的一些，它也会为那些不熟悉的企业创造一个很好的起点，即开发或部署值得信赖，安全和可生存的系统。虽然DHS文章是一个简单的阅读，并将获得高级管理层，但许多建议的做法将读者推荐给其他文件，例如NIST的网络安全框架和DHS工业控制系统网络应急响应小组“改善工业控制系统网络安全防御深度战略。“这些引用的文件提供了更多实践的IOT安全准则，并对有责任实施的公司来说是基本的阅读安全开发生命周期。

NIST的特刊800-160“系统安全工程：值得信赖的安全系统工程中的多学科方法的注意事项”是建立安全物联网设备后面的活动和任务的深入和详细描述。基于ISO / IEC / IEEE 15288：2015，一个描述了人造系统的生命周期的框架，SP 800-160涵盖了30多个进程和支持构建安全物联网设备的安全活动。但是，它实际上并没有定义或规定特定流程，只应考虑应考虑哪些任务和行动。事实上，很多技术细节只出现在一组附录中，以提高文档对工程社区的可访问性。NIST打算在进一步的特殊出版物中涵盖IoT硬件保证和弹性等问题 - 希望迟早更快。

DHS和NIST.发布这些物联网安全指南努力启动途中的急需班次IOT是开发和使用的，但他们留给每个组织，以及他们如何解释和制定所提供的建议。随着项目经理通过这些文件，他们应该注意他们的产品或部署的范围缩短，并且他们缺失的技能集合，然后与高级管理人员讨论最佳方法，使其进程最新并与建议对齐。对于采用物联网设备的组织，网络管理员和安全团队将很可能使用第三方专家来帮助设备评估和部署，因为它们不太可能在内部有必要的技能来执行建议的检查。

主要软件供应商已经多年了解烘焙保障进入其产品的重要性，而IOT产业将不负责任地犯同样的错误。没有专业人员可以逃脱，建立一个不符合公认标准的飞机，建筑物或桥梁，并且相同的措施必须申请IOT，因为许多设备与控制和控制相互作用批判性，生命支持系统。这些物联网安全指南为我们指明了正确的方向，但仍有很长的路要走。虽然企业购买力可以迫使制造商采取最佳做法，法规可能是强迫安全到消费者设备的唯一方法。