当客户构思和设计他们的物联网产品时,他们应该意识到现在有新出现的义务,必须提供端到端的完全安全的物联网解决方案。根据市场和目标应用空间,可能包括:
- 物联网的新监管合规要求
- 《网络护盾法案》
- 《物联网改进法案》
- 《改善国家网络安全的行政命令》,2021 年 5 月 12 日
- 《英国物联网实践守则》(U.K. IoT Code of Practice)
- 影响物联网设备、网络、基础设施和应用程序处理数据的数据隐私法规
- 《加州消费者隐私法案》(CCPA),SB-327
- 《通用数据保护条例》(GDPR),欧盟数据保护和隐私法
- 健康信息隐私 HIPAA
- 影响设计和实施安全要求的行业标准和最佳实践
- 《物联网设备网络安全能力核心基准》NISTIR 8259
- ETSI 技术规范 TS 103 645 和 ENISA 欧洲标准 303 645 – 消费者物联网网络安全
- NIST SP-800 和 NIST SP-1800 出版物
- ISO/IEC 27000 信息安全标准系列
- OWASP 嵌入式应用程序安全
- 产品安全认证
- ioXt 联盟设备认证配置文件
- ARM PSA(1 级、2 级和 3 级)
- FDA 批准的医疗器械(例如 DTSec SESIP)
- FIPS140-3,通过加密模块验证计划 (CMVP)
- UL 的物联网安全评级
这个列表只是物联网端到端安全要求的冰山一角。 除上述内容外,客户还必须应对针对其产品的实际和重大网络安全威胁,这一点从安全事件和攻击的数量、频率和严重程度的增加中可见一斑,这些事件和攻击导致设备受损、数据被盗/丢失以及许多物联网安全漏洞的公开事件中的应用程序和关键系统中断。
鉴于开始满足这些要求所需的安全复杂性和专业知识水平,您如何开始?
第一步是执行安全评估和调查威胁趋势,更清晰和连贯地了解影响客户物联网产品的风险和漏洞。事实上,第一步是使用威胁建模和实践渗透(渗透)测试来评估和发现特定威胁。理想情况下,威胁评估和漏洞测试不仅应在设备级别执行,还应包括网络层(例如,无线网状网络、RF 协议和移动设备连接)。它还应涵盖客户云、数据和应用程序层中存在的任何安全和控制措施,还应涵盖与机器学习、数据管理、分析和自动化相关的隐私问题。该测试应是全面和专业的,以确保客户充分了解在设计、生产和设备生命周期流程实施过程中需要解决的安全要求的范围和细节。
IBM X-Force Red 提供主题专家和渗透测试,可以与客户合作,准确执行上述操作。从重点关注的威胁建模研讨会开始,他们可以探索具体的监管需求、隐私问题、标准和认证要求。他们还可以讨论客户应该考虑并设计缓解措施的具体威胁模型和场景。本次研讨会结束后,将向客户提供一个高级行动路线图,其中可能包括其他活动,例如对上述部分或全部领域的特定渗透测试。然后,客户可以直接与 IBM 合作进行评估并获得更多详细信息。此外,客户可以使用这些评估活动的输出来了解他们应该如何利用我们的产品安全功能、Secure Vault 和 CPMS,以及未来将提供的其他物联网安全功能。
点击此处访问我们的 IBM 技术合作伙伴页面
