隨著數(shù)字化轉型的實現(xiàn)，企業(yè)越來越依賴支持有價值的物聯(lián)網服務的設備。隨著對這些設備的依賴性不斷增加，對連接解決方案的網絡攻擊數(shù)量也在增加。每次違規(guī)行為不僅會影響企業(yè)聲譽，還會影響底線盈利能力，并產生法律后果。為了限制這些破壞性后果，物聯(lián)網設備的制造商（和供應商）必須迅速采取行動，以保持領先于威脅。

OEM 物聯(lián)網安全

一些國家，政府和行業(yè)機構正試圖通過立法、標準和基線要求來保護其公民，迫使或鼓勵設備制造商實施適當?shù)谋Ｗo措施?？蛻粢苍絹碓揭庾R到對其設備以及公司或個人數(shù)據保護的重要性。最近的調查顯示，許多人沒有購買鎖具和攝像頭等智能家居產品，因為他們擔心自己的安全性。

原始設備制造商 （OEM） 如果希望利用數(shù)字化轉型創(chuàng)造的機會，就必須建立客戶對這些產品及其生成的數(shù)據的信心。要做到這一點，唯一的方法是設計安全性并將其嵌入到連接設備的每一層中。

物聯(lián)網安全挑戰(zhàn)

并非所有 OEM 都有時間、資源或專業(yè)知識來投資安全性。保護 IoT 設備非常復雜，它需要了解硬件、軟件、操作系統(tǒng)和應用程序安全性。識別和評估不同的安全解決方案也需要時間。實施保護措施會增加單位成本和物料清單，在2021年對技術行業(yè)領導者的調查中，超過一半的受訪者表示，額外的安全成本是實施的最大障礙之一。那么，這是跳過它的足夠好的理由嗎？

要回答這個問題，請考慮安全漏洞對客戶的潛在影響，無論他們是個人還是組織。單個產品中的漏洞可能會使整個網絡癱瘓，例如，如果它是健康，水或能源基礎設施的一部分，則可能會產生重大影響。成功的網絡攻擊的成本也可能很高，如果您不遵循最佳實踐，您可能會面臨聲譽風險。

幸運的是，OEM 可以采取五個關鍵步驟來降低安全性的復雜性，以及從頭開始在其設備中構建正確保護所涉及的時間和成本：

第 1 步：遵循框架

物聯(lián)網安全框架使安全民主化。即使您沒有安全專家團隊，它們也可以更快，更輕松，更具成本效益地構建安全產品。它們還標準化了安全性，因此生態(tài)系統(tǒng)以相同的方式進行設計和實現(xiàn)。

在許多情況下，這些框架是由世界領先的公司設計的，它們包括一套免費資源，以幫助您采用最佳實踐并滿足基本的安全要求。選擇符合立法、標準和基線要求的框架很有用，例如全球標準ETSI EN 303 645、美國的NIST 8259A或其他行業(yè)方案。如果您在多個市場開展業(yè)務，這尤其有價值。

步驟 2：完成威脅模型和安全分析

威脅模型和安全分析 （TMSA） 是安全之旅的下一步，它可以幫助您建立最佳實踐的審核跟蹤。通過執(zhí)行TMSA，您將能夠識別對設備的威脅以及為確保設備及其生成的數(shù)據安全而采取必須的措施。

TMSA 可幫助您避免在一開始就對安全性進行投資不足或過度投資，這意味著在開發(fā)后期進行代價高昂的更改的可能性較小。它還將幫助您將安全性嵌入到設備的每一層。

尋找提供示例的框架，如果你想讓這個過程更容易，你可以適應你的用例。

步驟 3：實現(xiàn)信任根

根據美國國家標準與技術研究院（NIST）的說法，信任根（RoT）是："執(zhí)行特定關鍵安全功能的高度可靠的硬件，固件和軟件組件。這些功能可能包括加密、證明、可信啟動和安全存儲。

RoT內置于芯片中。它將基本安全功能置于設備的核心，并為應用程序開發(fā)人員提供了一個安全的基礎。它得到了幾個行業(yè)計劃和一些網絡保險公司的認可。正如慕尼黑再保險網絡高級安全專家Tim Davy所解釋的那樣："在組織或系統(tǒng)內擁有基于信任根的組件有助于保險公司劃分風險并降低不作為的成本。隨著更多可信組件的出現(xiàn)，業(yè)務彈性更強，對供應鏈的了解也越來越高，從而將故障成本降至最低。

如果您選擇具有RoT的組件，您將知道安全性已內置，這消除了保護設備的艱苦工作。

第 4 步：尋求第三方評估和認證

但是，您還需要展示您在安全方面的投資，以便客戶知道您的產品值得信賴。第三方評估和認證將使客戶和更廣泛的生態(tài)系統(tǒng)高枕無憂，而這種保證將使您能夠擴展部署。

要獲得認證，獨立的安全專家將根據最佳實踐評估您的實施情況，以及您與法規(guī)、標準和基線要求的一致性。如果采取了適當?shù)拇胧瑢㈩C發(fā)認證。

第 5 步：加強協(xié)作

如果您利用生態(tài)系統(tǒng)的專業(yè)知識，則可以打破上面強調的安全障礙，并確保不會獨自面對這些安全挑戰(zhàn)。已經廣泛支持采取更具協(xié)作性的方法。大多數(shù)對PSA認證的2021年安全調查做出回應的技術行業(yè)決策者（85%）表示，他們有興趣分享物聯(lián)網安全知識。

那么，你是怎么做到的呢？一種選擇是選擇已經被評估為安全的組件，這使您能夠從行業(yè)領導者的知識中受益。在某些情況下，您甚至可以通過重用他們的認證來支持您自己的旅程，從而利用他們在安全性方面的投資。

降低物聯(lián)網安全的復雜性

上面列出的五個步驟降低了安全性的復雜性，并最大限度地減少了保護物聯(lián)網設備所涉及的時間和成本。它們還有助于跨行業(yè)擴展數(shù)字化轉型，構建更安全的產品，生成人們可以信任的數(shù)據，并可用于創(chuàng)建新服務。

總結一下：

1. 框架可以更快、更輕松地實現(xiàn)安全性，并減少保護物聯(lián)網產品所需的時間和成本。

2.威脅模型和安全分析將幫助您確定設備的正確安全級別，以及保護設備必須采取的步驟。

3.實施RoT使您能夠在安全的基礎上構建設備。

4. 第三方評估和認證有助于向客戶保證您設計的產品符合最佳實踐。

5. 最后，通過與生態(tài)系統(tǒng)密切合作，您可以簡化和加速安全實施，幫助您建立人們對物聯(lián)網的信心。

原文轉自infosecurity，作者David Maidment，超級科技譯，合作站點轉載請注明出處和原文譯者為超級科技！

Hi，我是超級科技

超級科技是信息安全專家，能無上限防御DDos攻擊和CC攻擊，阿里云戰(zhàn)略合作伙伴！