三步提高物联网设备的安全性

是时候强硬起来了

正如您所想象的，上面列出的每一个的情况下可能对您组织的安全性产生潜在影响:电视可能是您内部网络的入口点;车间的传感器和其他设备可能包含对竞争对手有价值的信息;工业控制系统可能会引发网络战(比如对关键基础设施的攻击);临床设备可能会对患者的健康和安全造成影响。确保这些设备按照安全配置部署是很重要的，同样重要的是它们保持这种状态时间。

显然，设备制造商最终能够也应该在这方面发挥关键作用:随着技术的成熟，标准化的出现，以及监管机构和政策制定者对其作用的评估，设备制造商有可能在未来提高成熟度。然而，与此同时，作为一个实际问题，企业中的安全专家需要确保他们的组织受到保护。

这可能是一个棘手的问题，原因有几个。首先，不像加固通用操作系统(如服务、桌面甚至BYOD设备)，给定物联网设备的具体配置可能不那么容易被终端用户直接修改。而且，即使存在配置选项影响物联网设备中的安全性，安全专业人员可能没有组织设备来确保做到这一点。例如，可能没有明确描述谁具体负责安全配置。最后，由于潜在设备的多样性，“一刀切”的引导只能到此为止。例如，你在电视上使用的具体配置变化或安全对策将与你在农业应用中使用的湿度传感器有很大的不同。这意味着您关于加固物联网设备的决定必须在逐个案例、逐个设备的基础上进行。

物联网设备安全的三个关键步骤

组织可以做一些事情来帮助开发和实施他们所负责的物联网设备的强化配置。从安全的角度来看，下面的简单步骤可以提供重要的价值，帮助确保随着时间的推移实现健壮的配置。

第一步是建立一个识别进入组织的新设备的过程。有两个组件：

1. 新设备的识别/发现/清单
2. 将设备集成到更广泛的资产管理方法中

对于第一个问题，即等式的发现方面，采用“腰带和吊带”的方法。具体来说，使用现有的数据源，例如漏洞评估信息，帮助在网络上发现设备，您可能无法期望或已经知道了。与此同时，与业务和其他团队建立关系，以确定涉及带来专业设备，商业自动化方案和其他使用案例的举措，这些案例将需要您可能希望保护的专用设备。

将设备集成到更广泛的资产管理方法中，即第二个部分，涉及到明确划分和建立责任和责任区域，以确保设备受到保护，并从安全的角度进行适当配置，并在其最佳配置中。换句话说，确保某人的工作是验证这些关键步骤的发生。在某些情况下，这可能是it组织的最佳工作，但在其他情况下，业务团队甚至第三方供应商支持人员可能最适合这项任务。无论决定什么，分配一个责任点将确保采取适当的行动。将此信息与您在第一步中捕获的库存信息结合起来也很有帮助。这意味着，环境可能会在每个设备上决定谁是责任人;确保这些信息被保留并与库存联系在一起。

下一个关键步骤是执行Legwork以了解物联网设备安全性的模型。包括组织可以设置的安全配置参数等机制。同样，这将是一种逐个设备练习。由于它可以想到，在不同的团队中分发了确保设备安全性的安全性的责任，有助于记录安全目标的期望和目标。本文件的范围可能是对负责监督某些设备的负责的团队的技术指导，并且该文件还可以解决与安全活动中的安全相关的考虑因素的领域，其中安全团队可能切向来的案例涉及。例如，指导可以解决应用程序测试技术的要求或指南设备制造商使用，使用可信任的执行环境，加密要求（两者数据在运输途中和静止的数据)等等。

加固物联网设备的最后建议步骤可能听起来很老套，但请记住，根据物联网，解决网络其余部分的保护机制的价值会增加。这意味着一个必要的步骤限制可能的攻击在物联网设备上是让房子的其余部分井然有序。理想情况下，精明的安全从业者无论如何都会这样做，但物联网可以提供额外的动力来做好这一点。使您的安全屋有序包括测试活动，如漏洞评估、渗透测试和应用程序安全性测试。它还包括“侦探”控制(例如，id)、增强身份验证等。

简而言之，硬化物联网设备的最后一步是在工具箱中使用所有规范对策，以确保整体强大的安全姿势。