幫助開發人員建構IoT網路安全的6項必要動作

作者 : Rich Quinnell,EDN

對於許多開發團隊而言,將網路安全(cybersecurity)納入其物聯網(IoT)設計的想法似乎令人生畏。沒有解決問題的系統方式情況下,增添功能和最小化實現成本之間取得平衡會很快導致混亂和挫折。為了支援開發人員,美國政府已經確定了開發團隊可以進行的一些重要動作,以為其裝置的安全功能提供合理的基礎。

對於許多開發團隊而言,將網路安全(cybersecurity)納入其物聯網(IoT)設計的想法似乎令人生畏。沒有解決問題的系統方式情況下,增添功能和最小化實現成本之間取得平衡會很快導致混亂和挫折。為了支援開發人員,美國政府已經確定了開發團隊可以進行的一些重要動作,以為其裝置的安全功能提供合理的基礎。

美國國家標準暨技術研究院(NIST)在其文件NISTIR 8259「針對物聯網裝置製造商的基礎網路安全動作」(Foundational Cybersecurity Activities for IoT Device Manufacturers)中定義了六項基礎動作,供開發團隊在其物聯網裝置設計中考慮網路安全時遵循。這些基礎動作可以分為兩個時間範圍,首先是上市前動作,這在詳細開發裝置甚至尚未開始之前就進行,這些動作將協助開發團隊確定其設計應提供的安全功能,且通常可以找到有關如何實現該功能的指南。

雖然第二個動作應該在開始開發之前就計劃好,但其在將成品交付市場後開始才會發揮作用。這些售後動作牽涉到如何為購買產品並將其整合到系統中的客戶提供支援的問題,由於網路攻擊流程不斷發展,因此物聯網裝置也需與時並進,且大多數客戶都希望他們的裝置供應商能夠支援這種進展。

圖1 這六個動作可以幫助開發團隊確保其物聯網設計實現適當的網路安全功能。(資料來源:NIST)

在上市前階段,有四項主要動作旨在補充或與開發團隊其他傳統上市前的動作同時進行,以幫助定義設計企圖實現的市場機會。

1.確定預期客戶並定義預期使用案例

此動作對於確定客戶需要哪些網路安全功能至關重要,並且通常可以指示需如何實現這些功能。要問的問題可能包括該裝置的使用方式和位置,裝置將持續使用多長的時間,將與哪些其他客戶系統進行互動,以及攻擊者會如何危害或濫用該裝置。

2.研究客戶對於網路安全的需求和目標

開發人員需至少部分地了解,客戶將如何減輕其獨特的網絡安全風險。了解客戶的風險,以及客戶控制風險的方式將對定義裝置的網路安全功能要求大有幫助。兩種威脅正在發揮作用——裝置本身可能需要保護,以防止其功能受到損害或劫持,且裝置處理的訊息可能需要保護,以防被盜竊或操縱。

3.確定如何滿足客戶需求和目標

針對動作2中確定的每個網路安全目標,開發團隊都需提出以下問題:實現該目標的合適方法是什麼?這個方式可能包括裝置本身內建的功能,或是由諸如集線器或閘道器之類的另一客戶裝置提供,也可以由諸如基於雲端服務的第三方提供。非技術方式也需要考慮,例如客戶是否願意接受未達目標的風險。此外,團隊還應該考慮這些方式需具備如何的強健性。

4.計劃充分支援客戶的需求和目標

透過確保存在適當的機制並根據長期裝備支援的想法做出設計選擇,開發人員可以讓他們的設計更適合滿足客戶目標。例如,如果裝置的安裝壽命為數十年,則在安裝後包括更新加密算法或更改密鑰的功能可能是合適的。其他要問的問題可能包括客戶如何驗證硬體和軟體的完整性,如何確保第三方軟體的安全性,以及如何保護程式碼免遭未經授權的訪問和篡改。

除了可以幫助指導裝置網路安全功能的選擇和實施的這些動作外,開發團隊還應計劃兩個售後動作。

5.定義與客戶溝通的方式

客戶在評估購買裝置時可能需要知道其可提供哪些安全功能。安裝後,他們可能需要知道如何喚醒、修改或更新此類功能,因此,開發團隊需要計劃如何將這些資訊傳達給客戶。需要考慮的問題包括客戶將了解哪種術語(基於他們的技術成熟度),他們將需要多少資訊,如何提供有用的資訊,以及客戶如何驗證資訊的完整性。

6.確定與客戶溝通的內容

確定要傳達哪些資訊,以及如何進行資訊的確定可能涉及許多因素。要考慮的一件事是,售出後可支持該裝置多長時間,以及報廢後會發生什麼事;另一個考慮因素是確定客戶需要了解哪些有關裝置及其設計的知識,以便將其整合到他們的系統中並進行維護。要問的問題還包括:客戶將如何取得軟體更新,如何禁用設備,以及如何將所有權轉讓給另一方?

NIST文件NISTIR 8259為尋求參與這些動作的開發團隊提供了許多其他更詳細的建議與許多額外的功能。可從上方提供的連結免費下載,非常值得閱讀。網路安全似乎令人生畏,但是這些指南將為開發團隊提供一個堅實的框架,以開始應對各種挑戰。

(參考原文:6 essential activities to help developers build in IoT cybersecurity,by Rich Quinnell,EDN Taiwan Anthea Chuang編譯)

 

 

 

 

 

加入LINE@,最新消息一手掌握!

 Line For EETT and EDNT

發表評論