NIST 发布针对物联网制造商的安全建议草案
新的 NIST 建议提供了与网络安全相关的自愿活动,制造商应考虑在将其物联网设备出售给客户之前执行这些活动。
美国国家标准与技术研究院 (NIST) 发布了其针对物联网 (IoT) 设备制造商的建议的第二稿。
在其中,联邦机构要求在商业化之前进行一系列问题和评估,旨在“降低物联网设备妥协的普遍性和严重性”。
主要亮点包括:
- 识别预期客户并定义物联网设备的预期用例: 这是 NIST 提出的第一点,非常重要。通过弄清楚设备将用于什么、将在何处使用以及将连接到什么位置,制造商可能能够识别出薄弱环节并在销售前对其进行加固。
- 研究客户网络安全目标: 这从第一点开始,在设备发货之前识别弱点。 NIST 询问设备将如何与物理世界交互、如何访问它、谁来监控它、它将保存哪些数据以及它必须遵循哪些法规。加州最近颁布了物联网安全的州法,我们可以预期今年会有更多的州和国家这样做。
- 确定如何实现客户目标: 在弄清楚外部威胁之后,设备制造商应该着眼于通过确定设备标识、配置、数据保护、逻辑访问限制、软件和固件更新来增强板载安全性。
- 定义与客户沟通的方法: 一旦产品开始销售,制造商需要能够就任何问题与客户进行沟通。 NIST 建议制造商使信息尽可能易于理解和访问。
- 决定与客户沟通什么以及如何沟通: 买家最大的担忧之一是,一旦制造商终止支持,他们的设备将失去所有功能。 NIST 建议制造商与客户明确其打算提供多长时间的支持以及支持结束后设备将具有哪些功能。
物联网技术