想采購物聯網設備?你得先看一下這個自檢表
責編:gltian |2018-12-06 10:00:53現在,很多公司都希望尋求物聯網來提高產品競爭力,用來超越對手或者提高產品利潤。在一些市場營銷宣傳影響下,人們可能會相信自己需要一個能在回家前5分鐘把水燒開的智能水壺,這樣就可以在進門后幾分鐘內喝上一杯熱茶……
根據研究機構Gartner公司的報告,到2020年,大約有208億個物聯網設備可以連接到互聯網,隨著無所不在的成本更低的傳感器的處理能力提高,以及帶寬的推動,每天將增加約550萬個設備。此外,到2020年,一半以上的主要新業務流程和系統將納入物聯網的一些要素。
如果說您也正在考慮采購物聯網設備,有些因素你需要慎重考慮一下。
購買前
1. 制造商是否可靠?他們有能力在產品的整個生命周期內維持運營嗎?
如果你希望自己部署的產品能夠為企業服務5-10年,但是提供該產品的公司連一年都維持不了就消失了,那還談什么售后保障呢!
2. 該產品是同類產品中的首創,還是與其他產品存在競爭關系?
這個問題的關鍵在于,有些公司會選擇犧牲一些東西,以便率先進入市場,而最典型地犧牲內容之一就是產品安全性。
3. 產品供應商發布更新的頻率如何?
如果一件產品已經面市了多年,但卻尚未發布過任何更新,你可能需要詢問其供應商是否切實地維護過其產品。
4. 固件是自動更新還是需要手動干預?
雖然你可能希望對某些關鍵任務設備進行手動更新控制,但是有些產品可能無法實現這種部署方式,因此,預先了解自身對正在運行的軟件版本的控制程度十分重要。
5. 產品中是否存在已報告的漏洞?
如果供應商發布有關產品漏洞的公告,不要將其視為“壞事”。因為沒有產品是完全安全的,重要的是要看供應商對漏洞的態度和響應行為。真正令人擔憂的是那些對漏洞信息毫無反應,甚至試圖掩蓋關鍵漏洞的供應商。
6. 供應商是否已設立安全頁面?
該頁面應該包含過去出現過的安全問題、更新和聯系信息。如果他們的網站上不存在任何形式的安全內容和聯系人,那么該供應商顯然是不過關的。
購買后30天內
1. 如果設備包含接入點(簡稱AP),則應檢查AP是否未打開。
很多產品多年來都忽略了這一點(未曾打開AP),結果在從無線網絡中取消認證時,就會創建一個開放的、不安全的無線接入點。
對此進行測試的方法很簡單,就是將設備與無線網絡關聯,然后拔下無線網絡約10分鐘。如果你看到自己的設備隨AP出現在移動設備上,則說明它并未打開。
2. 任何相關的云接口有多強大?
接口是否允許單點登錄?它是否允許多因素身份驗證?重要的是,您使用的任何Web界面都要能夠提供安全性,讓您高枕無憂。
3. 哪些數據在云端傳輸(進來/出去)?
你是否知道正通過新的IoT設備離開網絡的是哪些數據?該設備允許進入您網絡的流量又是多少?
4. 實際更新固件有多容易/困難?
在采購設備之前,您通常已經了解了固件更新是手動還是自動的。但是,您無法確認安裝過程中涉及的步驟。我傾向于支持允許單鍵升級的應用程序,而不是冗長乏味的手動更新過程。
5. 接口是否足夠安全?
如果您能夠確認下述信息那就更好了:它是否需要對關鍵操作進行身份驗證?您的本地網絡上是否存在不需要憑據的開放API?憑據是以純文本形式發送的嗎?
6. 完成端口掃描
非常重要的一點是,您需要了解清楚在您的網絡上哪些服務是開放的,以及哪些服務正在竊聽您的網絡行為。
7. 書寫評論
我認為,大多數產品評論根本毫無用處。他們要么是付費評論員,沒有真正地使用過產品;要么就是缺乏提供有效技術意見的能力。您可以用簡單地文字撰寫產品評論,描述清楚產品的利弊,討論產品的安全性,為潛在購買者提供有效的信息。
深度自檢表
1. 審核設備固件
如果您不確定從哪里開始,有一些課程可以幫助您解決這個問題。它可以提供一種很好的機制來查找和識別漏洞。
2. 審核設備的Web界面
與固件一樣,確切了解設備的工作原理是確保您在使用產品時能夠保持安全的絕佳方法。
3. 接觸供應商安全團隊
您接觸他們不必非要為了產品安全問題,你也可以測試他們對協作的響應能力和開放性。明確地了解供應商的安全團隊如何應對問題非常重要。
4. 尋找該設備的其他用戶
您可以尋找一個subreddit論壇或郵件列表,供用戶聚在一起討論該產品屬性。這些社交論壇經常會分享一些用戶并未察覺的漏洞信息,是真正提供學習和分享機會的好地方。
5. 參加培訓課程
如果你想要深度探索物聯網設備采購這門學問,建議您可以選擇一門課程來幫助您更好地準備設備審核過程。擁有常見IoT設備工具包可以幫助您更輕松地識別自身設備中的錯誤。
上一篇:從安全效果來看一款優秀的NGFW
下一篇:威脅捕捉:戰略性IT安全的基礎