NIST识别IOT Cybersecurity的基本活动
文章作者:Richard Quinnell
美国政府已确定发展团队可以追求的基本活动为其设备的安全能力提供合理的基础。
对于许多开发团队来说,将网络安全建设到IOT设计的想法似乎令人艰难。在添加功能和最小化的实施成本之间略微突出平衡可以很快导致混淆和挫折而没有解决问题的系统方法。为了支持开发人员,美国政府已确定发展团队可以追求的一些基本活动,为其设备的安全能力提供合理的基础。
在其文件NISTIR 8259中,物联网设备制造商的基础网络安全活动,美国商务部的国家标准与技术研究所(NIST)定义了开发团队在考虑物联网设备设计的网络安全时必须遵循的六项基本活动。万博投注网址这些基本活动可以分为两个时间段。第一种是上市前活动,在详细开发开始之前就开始了。这些活动将帮助开发团队确定他们的设计应该提供什么安全功能,并且经常可以发现如何实现该功能的指导。万博投注网址
第二组活动在完成的产品交付到市场之后开始发挥作用,尽管它们应该在开始开发之前进行计划。这些上市后的活动涉及到如何支持购买了产品并将其整合到系统中的客户的问题。由于网络攻击过程不断演变,物联网设备也需要能够演变。大多数客户都希望他们的设备供应商能够帮助支持这种演变。
图1这六个活动可以帮助开发团队确保他们的物联网设计实现足够和适当的网络安全功能。万博投注网址(来源:NIST)
在预先市场阶段,有四项关键活动旨在补充或与发展团队的其他传统市场活动同时,有助于确定设计旨在满足的市场机会。
1.确定预期的客户并定义预期用例
此活动对于确定客户将需要哪些网络安全功能,并且通常可以说明如何实现这些功能。要询问的问题可能包括如何使用设备,设备仍将使用的时间,设备与设备交互的其他客户系统以及攻击者如何妥协或错误使用该设备。
2.研究客户网络安全需求和目标
开发人员将需要了解,至少部分,客户将需要如何减轻他们独特的网络安全风险。了解客户的风险以及客户控制风险的方法将大大有助于定义设备的网络安全功能需求。目前存在两种威胁:设备本身可能需要保护,以防止其功能被破坏或劫持;设备处理的信息可能需要保护,以防止被盗或被操纵。
对于某些客户和用例,还需要解决法规或特定于应用的网络安全。在这种情况下,该设计将受益于实现简化和支持客户在满足这些需求时的功能。因此,这项活动可能需要包括探索相关的监管标准,以了解特征要求的指导以及面试潜在客户了解他们的需求和期望。
3.确定如何应对客户需求和目标
对于活动2中确定的每个网络安全目标,开发团队需要提出这样的问题:实现该目标的合适手段或手段组合是什么?这种方法可能包括内置在设备本身的功能,由另一个客户设备(如集线器或网关)提供,或由第三方(如基于云的服务)提供。非技术手段也需要考虑,例如客户是否愿意接受无法实现目标的风险。团队还应该考虑该方法需要有多健壮。
4.为客户的需求和目标提供足够的支持
开发者可以让他们的设计更适合满足客户的目标,方法是确万博投注网址保有适当的机制,并考虑到长期的设备支持理念而做出设计选择。例如,如果一个设备的安装寿命为几十年,那么在安装后包括更新加密算法或更改密钥的能力可能是合适的。其他要问的问题可能包括客户如何验证硬件和软件的完整性,如何确保第三方软件的安全性,以及如何保护代码不受未经授权的访问和篡改。
除了这些可以帮助指导选择和实施设备的网络安全功能的活动外,开发团队还应该计划两个上市后的活动。
5.定义与客户沟通的方法
评估购买设备的客户可能需要知道设备可以提供的安全功能。安装后,他们可能需要知道如何激活,修改或更新此类功能。因此,开发团队需要计划如何向客户传达这些信息。要考虑的问题包括客户将理解的术语(根据他们的技术精致),他们将需要多少信息,如何提供信息,以及客户如何验证信息的完整性。
6.决定与客户沟通的内容
许多因素可能涉及确定要沟通的信息以及如何进行的信息。需要考虑的一件事是支持设备一旦出售,并且在生活结束后会发生什么。另一个考虑因素是确定客户需要了解设备及其设计,以便将其集成到其系统中并维护。要询问的问题还包括,客户如何接收软件更新,他们必须做些什么来禁用设备,以及他们如何将所有权转移给另一方?
NIST Document Nistir 8259为寻求参与这些活动的开发团队提供众多额外的,更详细的建议。从上面提供的链接中可以自由下载,非常值得阅读。网络安全似乎令人生畏,但这些指南将提供具有坚实框架的开发团队,开始解决挑战。
本文最初发表于edn..
丰富的Quinnell.是一个退休的工程师和作家,以及Edn的前任主编。
相关文章: