NIST 的新物联网出版物 (NISTIR 8228) 对您的设备意味着什么

最近，美国国家标准与技术研究院 (NIST) 发布了一份出版物草案，即 NIST 内部报告 (NISTIR) 8228，管理物联网 (IoT) 网络安全和隐私风险的注意事项。它旨在作为一系列关于如何管理与物联网设备相关的网络安全和隐私风险的出版物的基础。

NISTIR 8228 针对联邦机构和私人组织，确定了物联网设备的三个严重安全漏洞。 NISTIR 8228 还定义了三个风险缓解目标。

NISTIR 8228——详细说明物联网设备的安全漏洞

物联网设备以传统 IT 设备不具备的方式与物理世界交互。与计算机、平板电脑或智能手机不同，物联网设备不在 Windows 或 Mac OS 操作系统上运行。然而，其中许多设备都连接到互联网，从而允许进入其他安全的计算机网络。

物联网设备通常运行在定制的专有操作系统上，IT 人员很难或不可能对其进行监控和修补，因此降低风险的唯一方法是将它们放在 VLAN 防火墙后面的公司网络上，以防止设备访问更多网络的敏感部分。如果黑客能够访问网络上的物联网设备——通常是因为他们发现了设备制造商设计和安装的操作系统中的漏洞——他们可以对连接到该网络的任何计算机发起攻击。最常见的攻击类型是简单的 SSH 密码暴力破解攻击，通常只使用默认凭据。

此外，物联网设备可以被招募为僵尸网络，用于分布式拒绝服务 (DDoS) 攻击。 2016 年 10 月，互联网域服务 Dyn 遭受了历史上最大的 DDoS 攻击。攻击者将数百万个不安全的物联网设备招募到僵尸网络大军中，将大量流量引导到 Dyn 站点，导致流量缓慢爬行并最终使站点崩溃。黑客通过利用设备专有操作系统软件中的漏洞获得了对 IoT 设备的访问权限。

风险还不止于此。一些物联网设备能够对物理系统进行更改，例如 HVAC、电梯、自动喷水灭火系统等，如果被征用，可能会造成物理损坏或安全风险。

正在寻找一种安全的方式来为您的企业实施物联网跟踪系统？从 LinkLabs 注册免费演示。

NIST 物联网框架建议

为了解决网络安全和隐私风险，NIST 物联网框架建议组织可以在整个物联网设备生命周期中采取的行动。其中包括：

• 了解风险挑战。
• 调整组织政策和流程以应对这些挑战。
• 为物联网设备实施更新的风险缓解做法。

根据 NIST 的说法，人们对建立安全和隐私基线以帮助缓解风险非常感兴趣。大部分重点是制造商在其设备中构建安全和隐私功能。虽然这可能是前进的解决方案，但目前有数百万个物联网设备缺乏这些功能。制造商需要时间来提高上市前的安全性和隐私能力并将其内置到他们的设备中；在不使物联网设备成本过高的情况下添加这些功能也将面临其他挑战。

NIST 物联网框架中还概述了有关不同物联网设备所需的安全类型和级别的其他注意事项。对于某些人来说，可能只有设备本身需要保护。其他设备除了设备安全之外可能还需要数据安全，有些设备可能需要隐私保护以及设备和数据安全。迄今为止，这些离散要求尚未区分，组织需要决定哪些要求适用于任何特定的物联网设备和用途。

NIST 物联网框架为解决与不安全物联网设备相关的风险提供了一个有用的起点，但这只是第一步。在设计和构建经济高效的安全设备以及解决数百万已在使用中的物联网设备带来的风险方面，仍然面临着挑战。

自从 Dyn 攻击证明当前使用的许多物联网设备存在漏洞以来已经过去了两年，在这些设备的制造商找到安全风险的上市前解决方案之前，很可能还会过去几年。公司如何同时减轻他们用于自动跟踪和监控资产和材料的物联网设备带来的风险？

一种可以大大提高现成物联网设备安全性的简单方法是简单地更改制造商编程到设备中的默认密码。对于可能只有少数物联网设备的消费者来说，这是一个简单的解决方案。但对于拥有数百台（或更多）设备用于资产跟踪和监控的企业来说，由于重新编程数百个标签所需的时间和劳动力，这是一个不能令人满意的方法。

如果您的企业正在寻找一种安全的方式来实施物联网技术，请联系 Link Labs。我们的 AirFinder 系统将专用网络上的 IoT 设备与公司计算机网络隔离开来，并且不使用标准 IP 协议，因此很难对其进行攻击。对于广域网，我们的 Symphony Link 系统包含公钥基础设施 (PKI)，被 NSA 标准视为安全，无线固件可快速轻松地修补漏洞，无需物理访问设备，实时高级加密标准（ AES) 密钥交换，以及用于网络流量的银行级传输级安全 (TLS)。对于易于部署并避免 NISTIR 8228 中概述的常见物联网安全风险的安全跟踪系统，请立即联系 Link Labs。