抢先看:DHS和NIST发布IoT安全指南

在一系列利用IoT设备默认安全设置的大规模分布式拒绝服务攻击发生后,美国两个政府机构发布了有关IoT安全的安全指导文件。

美国国土安全部(DHS)和国家标准与技术研究所(NIST)同时发布了针对IoT的安全建议。专家称,DHS的IoT安全指南侧重于基础部分,而NIST为企业提供了更多操作方法。

DHS的IoT安全指南提出了六项战略原则,旨在为IoT开发人员、制造商、服务提供商和消费者“提供方法以帮助他们在开发、制造、部署或使用联网设备时全面确保安全性”。DHS建议在设计阶段部署IoT安全,推送安全更新,采用经过验证的安全做法,优先考虑高风险问题,提高透明度以及谨慎使用IoT设备。

Fortinet公司全球安全策略是Derek Manky称,DHS提供的基础部分是IoT安全指南最佳策略。

“现在很多团队都应该关注基础部分,但不幸的是,直到数百万IoT设备在世界各地部署,大家才注意这个问题,”Manky称,“我认为最好的方法是现在开始关注基础部分,从IoT的角度来看,并没有任何最佳安全和开发做法,第一步是应该是开发正确的框架,然后开始改变IoT开发人员的心态。”

Prpl基金会董事长Art Swift称,DHS为IoT安全做法设定了良好的基准。

“虽然这看起来很基本,但这些正是制造商和开发人员需要做的事情,以帮助改善物联网的安全性,”Swift说,“但DHS并没有提供如何执行其建议的实际操作方法。”

IoT网络安全公司Senrio副总裁Jamison Utter称:“对于任何管理机构,在这个阶段,最重要的是执行具有高影响力但非常可实现的做法。”

“例如,在设计阶段部署安全性部分涉及默认启用安全性,”Utter称,“更改默认密码可能可很好地抵御攻击,且90%都很容易操作。”

Manky认为Mirai僵尸网络攻击很好地证明,从一开始部署安全性是IoT安全中最重要的问题之一。

“Mirai被证明是通过非常简单的操作来积累其巨大攻击力量:试图使用默认用户名和密码登录设备。如果开发人员删除默认用户名和密码,这几乎可阻止这种僵尸网络,”Manky说道,“从一开始就考虑安全性意味着部署Common Weakness Enumeration等做法来评估产品的安全状态,可避免硬编码和默认密码之类的东西。”

然而,Utter称DHS的IoT安全指南并没有谈论过多技术细节。

“这个指导文件似乎谈得比较宽泛。而其实,对于IoT还根本无法实现漏洞管理等做法,”Utter称,“它还有些传统思维和假设,例如IoT仍然是一个‘网络问题’,我们认为IoT是始终连接始终在线的问题。这个指导文件很好;但如何部署这些建议方面则有些缺乏。”

Manky称:“DHS指导文件解释了什么以及为什么,如果你想了解更多,NIST的指导文件为你提供了操作方法。”

根据新的NIST特刊800-160,“对于管理当今系统不断增加的复杂性、动态性以及互联性,基于工程的解决方案是关键,这可以网络物理系统和系统之系统(包括物联网)为例。该指导文件指出应采用工程驱动的视角和行动来开发更安全和可行的系统,包括构成这些系统的机器、物理和人类组成部分以及这些系统提供的功能和服务。”

Swift指出,现在是时候让整个行业参与并部署必要的改变,以让物联网更加安全和可靠。

“在硬件层保护设备是确保IoT更加安全的最重要的方法之一,但使用开源软件也是关键领域。制造商和开发人员不应再依靠可被逆向工程的专有代码,因为事实已经一次又一次证明‘模糊安全’做法已经不可行,”Swift指出,“通过使用开源部署--开放接受审查且更加安全,开发人员可基于安全第一的做法,然后在增值市场差异因素方面进行竞争。”

Manky称赞这两个新的IoT安全指南,因为它们可促进对该主题的更多讨论。

“我们需要协作,不仅仅是在美国硅谷,每个垂直行业的制造商都应该协作起来,”Manky指出,“这是我们多年来在技术领域一直在说的话,但IoT已经涉及很多新的人,所以我们需要继续重申这个观点。这是下一波数字化发展趋势,确保健康持续发展很重要。”

本文转自d1net(转载)

时间: 2024-09-20 09:34:33

抢先看:DHS和NIST发布IoT安全指南的相关文章

NIST发布企业移动应用安全建议参考指南

美国商务部的美国国家标准与技术研究院(NIST)发布了最新指南,旨在帮助企业提高移动设备使用的安全性,越来越多的员工开始使用智能手机和平板电脑等移动设备来用于工作. 这个<审查移动应用安全(Vetting the Security of Mobile Applications)>为各行各业(包括医疗保健)提供了评估移动应用程序相关的安全和隐私风险的建议,同时包括内部开发或从移动应用商店下载的应用程序. 对于医疗机构,该指南可以帮助他们使用移动应用程序安全地访问或收集患者信息,NIST计算机科学

抢先看 Swift 3.0

本文讲的是抢先看 Swift 3.0, 这篇文章介绍了 Swift 3.0 的目标.发布进程和预计的时间表. Swift 3.0 是一个不兼容 Swift 2.2 语法的大版本更新.它对语法和基本库有着根本性的改变.Swift 3.0 实现的完整修改列表可以在 Swift evolution site 中查看. Swift 3.0 是首个包含 Swift Package Manager 的发布版本.现在 Swift Package Manager 还处于早期开发版本,它支持开发和发布跨平台的 S

91熊猫看书v5.0新版抢先看第二回

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 在昨天的<91熊猫看书v5.0新版抢先看第一回>中,小编对新版91熊猫看书v5.0的界面风格以及阅读页面做了一番体验,相信大家还意犹未尽,今天我将继续带给各位91熊猫看书for iPhone v5.0版其他方面的新特色,让新版的强大功能尽收眼底. 云同步优化 互联网改变生活,移动互联带来更多便利.云同步,一个全新的名词,近年来越来

“突破·重塑2017年数据中心设施论坛,精彩议程抢先看

"突破·重塑2017年数据中心设施论坛北京站"将于3月28日在北京万达索菲特酒店七层大宴会厅隆重召开. 大会上有来自国内外顶尖咨询机构的大牛,分享最新鲜的数据中心行业研究成果和用户调查报告,包括:中国互联网协会数据中心工作组副组长程小丹.赛迪顾问总裁孙会峰共同分享的2017<China Data Center Pulse 中国数据中心生态及运营现状>;以及由Uptime Institute 全球总裁Lee Kirby亲自发布的2017年全球数据中心趋势报告. 数据中心设施行

云安全联盟发布最新IoT安全指南

本文讲的是 :  云安全联盟发布最新IoT安全指南  ,  [IT168 资讯]在一年多前,RAND公司在其网络安全研究报告中揭露了物联网(IoT)非常易受攻击,该报告的发现还包括事后逐个修复补丁的安全做法以及为非联网设备提供互联网连接带来显著风险. 自那以后,大家开始探讨如何加强IoT设备的安全性,这些联网.智能且便宜的传感器设备像爆米花在全球扩张,其数量很快会达到10亿. 而近日云安全联盟在其80页指南中正式确认需要加强IoT安全性. 理由:IoT可能用于发起DDoS攻击,关键国家基础设施可

美国新闻机构“抢先看媒体”10日推出电子杂志“窃听”

美国新闻机构"抢先看媒体"10日推出电子杂志"窃听",专门报道由美国国家安全局前雇员爱德华·斯诺登曝光的文件. "窃听"网站将由英国<卫报>前任记者格伦·格林沃尔德.纪录片制片人劳拉·波伊特拉斯以及调查记者杰里米·斯卡希尔共同运营.格林沃尔德是最早接触斯诺登并报道美国国家安全局"棱镜"监视丑闻的媒体记者. 德新社报道,"窃听"刊载的第一篇文章由格林沃尔德和斯卡希尔共同撰写,介绍美国国家安全局锁定

NIST发布网络安全劳动力框架

本文讲的是 NIST发布网络安全劳动力框架,美国国家标准与技术研究所(NIST)近日公布了一份网络安全劳动力框架,用以支持企业培养并维护有效网络安全员工的能力. 该框架定义了角色及角色所需的知识和技能:还定义了澄清网络安全教育者.培训者/认证者.雇主和雇员之间交流的通用语.该框架意图帮助公司企业发展其现有劳动力,并帮助学术机构持续培养未来劳动力. 与其他所有框架类似,使用的公司企业受益,而其他人无视.坦帕市信息安全官马丁·兹奈赫看出了其中的潜在好处.2015年,他将当前网络安全状态,与1972年

RSA 2013(美国)大会即将开幕 热点抢先看

2月20日消息,作为业界久负盛名的安全大会,RSA2013(美国)大会即将在2月25日--3月1日在美国旧金山开幕.本届大会 同样吸引了来自全世界 各地的安全厂商.专家.学者的参与,同时,美国前国务卿Condoleezza Rice女士也将在现场做演讲.自1995年开始,每一届的RSA大会都会选择一个别具一格的主题,从1995年的埃及圣甲虫封印到2012年的伟大密码胜于利剑,每一个主题都在述说着一个个有关安全的故事.而今年的大会主题--古腾堡的印刷机,更是希望能从中找到未来安全的灵感.498)t

QQ同步助手谍照抢先看

QQ同步助手谍照抢先看 腾讯"同步助手"谍照抢先看近日,腾讯公司内测了一款"QQ同步助手"软件,手机用户可以下载安装该软件到手机,免费.快速.安全.便捷的实现手机名片.手机短信的本地或者http://www.aliyun.com/zixun/aggregation/13684.html">网络存储. 笔者有幸成为首批 "QQ同步助手"内测用户,在使用之后发现"QQ同步助手"有以下三大功能: 其一,本地备份更迅速