无论是构建还是购买 - 物联网设备安全与我们所有人息息相关

物联网 (IoT) 为中小型制造商 (SMM) 提供了许多吸引力，他们可能希望将 IoT 集成到其设施和运营中，或者寻求通过创新产品进入 IoT 市场。可用的物联网产品范围广泛且不断增长。在涉足物联网领域时，为潜在的网络安全陷阱做好准备是有帮助的，无论是在将物联网引入环境时对组织风险管理的影响，还是作为产品供应商进入市场时对产品设计和支持的考虑。 NIST 物联网网络安全计划正在努力为 SMM 提供在这些潜在动荡水域中航行所需的信息。

物联网和风险管理

在您安装智能恒温器以让您的员工保持舒适之前，在休息室添加智能咖啡壶以让他们保持咖啡因或在您的生产环境中部署最新和最出色的工业控制系统 (ICS) 技术之前，重要的是要认识到潜在的影响。您的传统 IT 可能拥有强大的信息安全计划，但在引入 IoT 时，这些工具、流程和程序可能需要进行调整。物联网的一些不同之处包括：

• 与物理世界互动。 物联网设备配备了从环境中收集信息的传感器或导致“现实世界”物体移动或变化的执行器。传感可以生成大量潜在的敏感数据，因此了解收集到的内容及其去向很重要。受损的执行器可能会让对手造成重大破坏 - 想想如果您不知道谁在指挥您的智能锁会发生什么。
• 挑战传统的 IT 管理实践。 物联网设备通常是“黑匣子”，既掩盖了其内部活动，又无法配备代理或以与服务器、台式机或防火墙相同的方式进行查询。因此，物联网的常见 IT 管理实践可能无效。如果您“大规模”部署物联网设备，这些管理挑战会迅速成倍增加。
• 缺乏常见的网络安全和隐私功能。 物联网设备通常缺乏对日志记录和监控的支持、对更新设备以解决新发现的漏洞的支持，或保护它们生成或处理的敏感信息所需的加密功能。不能假设这些设备与同一网络上的 IT 设备具有相同的网络安全功能。

在其环境中采用物联网的 SMM 需要准备好应对这些挑战。如果作为供应商进入物联网市场，了解这些挑战可能是开发提供更好客户体验的产品的机会。

管理您的物联网安全风险

在您的组织中采用 IoT 技术时，SMM 应计划着眼于三个目标来应对这些挑战：

1. 保护物联网设备安全，确保产品完全在所有者的控制之下，不会被外部行为者利用来访问 SMM 的网络或参与僵尸网络。
2. 保护数据安全，确保 IoT 设备生成的数据在存储在设备上、通过网络传输或传输到用于提供产品功能的各个方面的基于云的服务时不会暴露或更改。
3. 保护个人隐私，警惕 IoT 产品捕获或创建隐私敏感信息的可能性，并了解该数据可能会传输到何处。

这些目标在 NISTIR 8228，管理物联网 (IoT) 网络安全和隐私风险的注意事项中有所阐述 ，并且使用当前可用的物联网产品可能难以实现。对于应用 NIST 网络安全框架 (CSF) 或使用 NIST SP 800-53 控制定义其安全要求的组织，NISTIR 8228 确定了物联网设备在实现 CSF 和 SP 800-53 预期目标方面面临的一系列挑战。例如，缺乏安全软件/固件更新能力的物联网设备无法满足 SP 800-53 的控制 SI-2，缺陷修复。同样，许多物联网设备无法以满足 CSF 子类别 DE.CM-8：执行的漏洞扫描所需的方式进行分析。

对上述三个目标的考虑应考虑到物联网产品的选择及其管理方式，因为物联网设备的安全功能有助于实现设备集成系统的整体安全要求。

改善物联网产品的安全态势

如果您正在尝试创建物联网产品，对网络安全挑战的认识可以帮助指导您开发和支持产品的方法。上述三个目标也适用于开发物联网产品。考虑到这些目标的深思熟虑的开发方法将导致更易于管理、更安全的产品。这种方法涉及产品的设计和开发阶段以及产品推向市场后的支持阶段，如 NISTIR 8259 中的图所示，物联网设备制造商的基础网络安全活动 .

核心基线概述了各种需求的设备能力和支持行动：

技术网络安全能力

非技术支持能力

规划活动与应用技术和非技术基线相结合，将帮助 SMM 开发更安全且支持更好的产品，帮助您的客户利用您的物联网创新，同时限制对其风险管理挑战的影响。

可以提供帮助的信息

NIST 物联网网络安全计划在过去几年中与社区进行了深入接触，并围绕物联网网络安全挑战制定了丰富的指南集合。无论您是希望通过物联网集成改善运营的 SMM，还是希望通过新产品进入市场，都有许多资源和出版物可以帮助您完成工作。

NIST 的物联网网络安全欢迎制造商 iotsec [at] nist.gov（反馈）我们当前的公开草案。