美国国土安全部发布《物联网安全指导原则》

标签: 安全管理 资讯 DoH IoT 物联网 | 发表时间:2016-11-20 05:50 | 作者:clouds
分享到:
出处:http://www.freebuf.com

DHS_Sign-1024x683.jpg

物联网在内的网络互联服务为社会发展创造了机会和利益,而物联网自身的安全却跟不上创新和部署的快速步伐。如今,网络连接设备无处不在,物联网的增长和普及大大方便了人们的生活,而随着国家关键基础设施更多的网络物联应用,个人和国家面临的安全威胁越来越严重,而物联网的安全问题也接踵而来,恶意攻击、信息泄露、业务中断、大规模网络攻击……网络驱动生活,物联网安全事关国家安全。

本报告向物联网设备和系统相关开发商、生产商、管理者及个人提供了一组安全规则建议,以供参考。

1 在设计开发阶段考虑安全问题

任何网络连接设备都应考虑安全问题,在设计阶段的安全建设,避免了后期因安全问题带来的潜在业务中断和高昂重建成本。而通过注重网络设备安全性,也能为生产商和服务商提供市场分化机遇。建议:

以独特的方式设置难以破解的默认用户名密码。用户从来不会修改由生产商提供的默认用户名密码,很容易被破解。僵尸网络操作者正是利用这些默认密码信息扫描IoT设备,进行攻击感染。当然,强壮的安全控制应该是让用户具有修改禁用某些功能的权限。

使用技术过关和经济可行的主流操作系统。许多IoT设备内置使用了一些老版本的Linux系统,造成更新不及时,带来严重安全隐患。

使用安全集成硬件以加强设备和安全和完整性防护。例如,在处理器中嵌入安全集成芯片,并提供加密和匿名功能。

在设计中考虑系统和操作中断因素。只有了解造成设备故障的原因,才能制订有效的安全策略,甚至在某些可行情况下,为了减缓故障的严重性,开发商应该为设备设计一种安全无损的失效模式。

2 加强安全更新和漏洞管理

即使在设计阶段考虑了安全性,但在产品使用后还是会发现一些漏洞,这些漏洞可以通过更新和漏洞管理策略来进行缓解。对于这些缓解策略的制订者来说,应该充分考虑设备故障造成的影响、设备运行持续性和预期维修成本。而对于生产商来说,在漏洞威胁日趋严重的网络环境中,如果没有部署或设置安全更新能力,可能就会面对昂贵地召回或在遗弃不管的选择。建议:

考虑通过网络或其它自动化方式对设备进行安全加固更新。理想情况下,补丁应该通过加密和完整性验证方式来自动化更新。

考虑协调第三方供应商来进行软件更新,以解决和改进漏洞管理模式,确保消费者使用设备具有一整套的安全防护措施。

开发漏洞自动化处理更新机制。例如,在软件工程领域,建立来自安全研究者和黑客社区的漏洞报告实时信息获取机制,这对软件开发人员或后期维护人员来说都能得到及时的信息反馈和响应。

制订一个漏洞协调披露和处理政策。该政策应该涉及开发商、生产商、服务商和应急响应组织(CSIRT),通过应急响应组织,如US-CERT、ICS-CERT提供的漏洞报告进行定期的漏洞分析和预警。

针对物联网设备制订一个使用期限策略。IoT设备不可能进行无限期的更新和升级,开发人员应了解生产商和消费者期望,考虑设备使用期限问题,并明确超出使用期限带来的安全风险。

3 建立一套公认的安全操作方法

许多针对传统IT和网络安全的操作实践可以应用于IoT领域,这些方法可以帮助识别漏洞、检测合规性、响应预警和快速恢复。建议:

实践基本的软件安全和网络安全做法,并通过适配、灵活和创新的方式应用于IoT生态系统。

参考相关部门的具体实践指导。一些联邦部门制订有相关安全实践条例,如国家高速公路交通安全管理局(NHTSA)发布的《现代汽车网络安全最佳实践指南》、FDA发布的《医疗设备网络安全的售后管理》。

执行深度防御。开发商和生产商应该采用分层防御和用户级别威胁考虑的整体安全防护策略,当某些更新升级失效时,这能很好地发挥作用。

加入漏洞信息共享平台,积极通报漏洞,及时接收第三方安全预警。信息共享平台是提高安全风险意识的关键工具。如DHS和其下属的国家网络安全通信协调中心(NCCIC)等。

4 优先考虑造成潜在影响的安全措施

不同的IoT系统有着不同的风险模型,如工业用户和零售用户所考虑的风险不同,而且不同用户设备造成的安全故障后果也不尽相同,而破坏、数据泄露、恶意攻击等行为将导致潜在的严重后果,应该给予重视。建议:

了解设备的预期用途和使用环境。这将有助于开发商和生产商考虑IoT设备的技术特点、运行机制和必要的安全措施。

以黑客和攻击者视角建立“红队”操作模式,针对应用层、网络层、数据层和物理层进行安全分析测试,由此产生的最终结果和相关缓解策略有助于优先针对某些薄弱地方增加安全措施。

对接入网络的设备进行识别认证,尤其是针对工业和商业领域。引入安全认证功能,将使关键和重要领域用户对其组织架构内的设备和服务进行有效控制管理。

5 促进整个物联网生命周期的透明度

开发商和生产商应该了解其组织外部供应链使用或提供的软硬件相关漏洞情况。大多数时候,因为在开发和生产过程中忽略了供应链过程和产品的安全评估,一些代成本、易使用的软硬件会为IoT设备带来很大的安全隐患。另外,由于一些不明的开源软件会应用于IoT设备的开发过程,更增加了由此产生的风险威胁。提高安全意识可以帮助制生产商和工业消费者识别、应用安全措施或建立冗余策略。根据不同产品、开发商、生产商和服务商的可能产生的风险,设置适当的威胁缓解和漏洞处理措施,如更新、产品召回或客户咨询。建议:

进行内部或第三方供应商的端到端风险评估。为了增加安全透明度,开发商、生产商、供应商和服务商都应参风险评估过程。另外,当供应链环节发生改变时,相应的安全措施也应该进行改变或调整。

考虑建立一个关于漏洞报告的公开披露机制,如漏洞众测模式的赏金计划等。

在供应商和生产商之间采用明细的设备部件使用清单,以共建信任机制。一份明细清单对IoT生态系统的风险管理和威胁处理非常有用。

6 谨慎接入互联网

在工业环境和其它关键应用领域的物联网用户,应审慎考虑是否需要把IoT设备接入网络,并清楚由此导致的中断和其它安全风险。在当前复杂的网络环境中,任何物联网设备在其生命周期内都有可能会遭到破坏,物联网设备开发商、生产商和消费者应该了解相关设备被破坏和中断对主要功能和业务运营造成的影响。建议:

建议IoT用户明确任何网络连接性质和目的。如工业控制等一些关键环境使用的IoT设备没必要接入网络。

配置替代性连接方案。为了加强深度防御策略,在不接入互联网的情况下,可以选择配置接入本地网络进行关键信息收集和评估。具体参考: https://ics-cert.us-cert.gov/recommended_practices

在一些选择性连接方案中,允许生产商、服务商和用户禁用特定端口和连接功能。针对不同IoT设备用途,设置用户端指导和控制方案。

*参考来源: DHS,FB小编clouds编译,转载请注明来自FreeBuf(FreeBuf.COM)

相关 [美国 国土 安全部] 推荐:

美国国土安全部发布《物联网安全指导原则》

- - FreeBuf.COM | 关注黑客与极客
物联网在内的网络互联服务为社会发展创造了机会和利益,而物联网自身的安全却跟不上创新和部署的快速步伐. 如今,网络连接设备无处不在,物联网的增长和普及大大方便了人们的生活,而随着国家关键基础设施更多的网络物联应用,个人和国家面临的安全威胁越来越严重,而物联网的安全问题也接踵而来,恶意攻击、信息泄露、业务中断、大规模网络攻击……网络驱动生活,物联网安全事关国家安全.

【浙江一国土局副局长遭妻子举

- sososa - 微博段子
【浙江一国土局副局长遭妻子举报贪腐养小三】新浪微博ID为“夕阳下的秋叶”爆料:“我的老公,浙江省开化县国土局副局长朱小红经常在外嫖娼,并长期包养有夫之妇江某,为其购车购房,执法部门官官相护,包庇纵容”. 目前,朱已被衢州市国土资源局免职,并对其立案调查. 原文地址:http://www.tduanzi.com/tweets/13395.html.

国土部:96%地方官满意土地执法

- Woooon - 网易头条新闻
本报讯 近日,国土部执法监察局在全国开展了百县千镇国土资源领域违法违规问题的问卷调查. 国土部昨天发布的调查结果显示,九成以上地方人员对当地土地执法表示满意,七成认为违法用地最主要的类型是农民建房. 国土部表示,这次调查覆盖全国31个省(区、市)和新疆生产建设兵团,共收回调查问卷3202份.

美国IT圈家谱

- ZB - cnBeta.COM
为什么全球的科技新闻/互联网新闻/创业新闻都被美国所占据. 为什么美国的互联网创业行业总吸引所有 人的眼球. 看了这张美国科技圈图谱,我想你应该有所眉目. Microsoft(微软)、Amazon(亚马逊)、 Disney(迪斯尼)、Apple(苹果)、Google(谷歌)、Facebook、AOL、Twitter、eBay、Paypal……看看这些企 业是怎样一环扣一环,怎样反哺新的创业企业,打造全球科技良性循环生态圈的.

美国的网管

- 大胡 - 反智的书生--薛涌著作博客
日本女足战胜美国捧得世界杯,我正好错过了比赛,听到消息后赶紧上CNN网站,发现是那里最大的一篇报道. 一口气读完报道,对这个“日本奇迹”感到心潮澎湃. 但是,一看下面网友的评论,就傻了:. “日本人矮小,丑陋,美国的白人姑娘美丽”. “日本人偷袭珍珠港,我们反而给他们提供安全保护,给他们钱,现在他们又拿我们的钱贿赂裁判.

网曝湖南衡阳国土局副局长妻子存款逾千万(图)

- 个人 - 奶味网-国内- 最新RSS订阅
本报8月23日讯 近日,一篇《衡阳县国土局副局长惊现千万家产》的帖子在网络上流传,网帖中的照片指出,衡阳县国土局副局长凌生友妻子的银行账户存款达1120万元. 昨日,凌生友向记者表示,网帖属于诬陷,自己已向公安机关报案. 据记者了解,衡阳县纪委已成立专案组,对网帖所反映的情况展开调查. 发帖人在帖子中说,自己是衡阳县洪市镇人,今年上半年因扩建宅基地而与县国土局副局长凌生友接触,并将与凌生友的来往短信拍照公布.

美国科技圈图谱

- zjk - 36氪
编者按:本文来自JohnTian的投稿,JohnTian曾经投过亚马逊是如何拯救Kindle的,点击这里关注他的新浪微博. 为什么全球的科技新闻、互联网新闻、创业新闻都被美国所占据. 为什么美国的互联网创业行业总吸引所有人的眼球. 为什么….?看了这张美国科技圈图谱,我想你应该有所眉目. 微软、亚马逊、迪斯尼、苹果、Facebook、Google、AOL、Twitter、Ebay….

晒晒美国房价

- Weiye - 雾谷飞鸿
一周前我的一篇博文“在美国买房要花哪些钱”在中国被转贴之后,有不少读者对美国的房价兴趣很大,疑问也很多. 其实我主要讲的是买房子的时候除了房价之外还要花哪些钱,并没有着重介绍美国的房价,读者提醒了我应该对美国的房价做一个稍微详细的介绍. 美国人口普查局2005~2009年五年社区调查资料显示,全国共有住宅(包括单独住宅和公寓单元)1亿2770万套,其中购置居住的7532万套,租赁居住的3729万套,空置1509万套,空置率为11.8%.

JavaOne美国之行–Session篇

- LightingMan - 淘宝JAVA中间件团队博客
Session的总结是重头戏,在这篇blog中,来分享下我参与过的Session,以及听完后我对Session的评价和对于有收获的Session制定的一些Action Plan. 本届JavaOne我总共参加了24个Session,主要集中在JVM方面以及Experience Talk方面,5分为最高分的话,我给这些Session的评分状况如下所示:.

ELP:美国的教育

- TMGE - 屠龙记
ELP的几天里,我算是对美国式的教育有了一点点体会:我的体力完全不能够适应他们的强度. 作为中国学生,总会有这样的悲剧:在中国,我想说话,却不让我说;在美国,我不想说话,却强迫我说. 在中国,我们没有言论的自由,这点对我来说并不是什么灾难. 不让我说,我可以想,海阔天空,鸢飞鱼跃,谁能左右我呢. 这正有庄周乘天地之正而御六气之辩以游无穷的境界.