物联网安全框架现在要求首次启动时自动更新

Internet连接的设备应附带合理的当前软件和/或在首次启动推送自动更新以解决任何已知的关键漏洞,该行业的新版本建议了万物互联生命周期安全的最佳实践列表。

这项建议是在线信托联盟最新版本的物联网信任框架的一部分,该框架于周四在拉斯维加斯举行的年度消费电子展上发布。

没有就确保互联网连接的设备开发商和制造商的标准达成一致,开发商和制造商正在转向许多来源寻求帮助,包括行业协会。Alliance受世界各地100多个组织的支持,包括Symantec、VeriSign、Infoblox、MalwareBytes、Microsoft、Twittery和Godaddy,

“虽然大多数物联网设备都是安全可靠的,但许多设备仍然缺乏安全保障和隐私控制,让用户和整个互联网面临风险,”联盟执行董事克雷格·斯皮泽(Craig Spiezle)在一份声明中表示。OTA承认,尽管没有完美的安全保障,但应用框架原则的公司应免受监管监督和集体诉讼的影响,并有可能实现更低的保险费,该声明补充道。

随着威胁参与者发现操纵不安全设备的方法,形成大规模的分布式拒绝服务僵尸,物联网的安全性日益成为人们关注的焦点。美国联邦贸易委员会(United States Federal Trade Commission)发起了一场竞赛,向一款解决物联网设备中过时软件造成的安全漏洞的工具开发商提供高达25万美元的资金。此外,联邦贸易委员会本周还对台湾电脑网络设备制造商D-Link Corp.及其美国子公司提起诉讼,称该公司采取的安全措施不足,使得其无线路由器和互联网摄像头容易受到黑客攻击,并危及美国消费者的隐私。

此外,本周网络设备制造商Netgear宣布了一个错误的赏金计划,高达15,000美元,用于在路由器和交换机中查找安全缺陷。

一段时间以来,安全专家已经警告说,所谓的物联网在连接工业设备时会打开许多漏洞.

尽管一些行业分析人士和供应商组织发出警告,但仍未为安全问题做好准备……

该框架包括37项原则,分为四类(安全、用户访问和全权证书、隐私、披露和透明度;以及通知和相关最佳做法)。

在增加的项目中:

-一项新的原则,要求产品开发人员帮助防止或表明安装后对设备的任何物理篡改。该文件指出,除其他外,这将有助于识别如果退回零售商时被篡改的设备;

-关于连接到物联网支持网站的一节现在说,设备应包括可靠认证其后端服务和支持应用程序的机制;

-一项新的原则,要求产品创建者开发和维护“材料清单”,包括软件、固件、硬件和第三方软件库(包括开放源码模块和插件)。这将适用于设备、移动和云服务,以帮助快速补救已披露的供应商或开源漏洞;

-一项新的原则,要求产品创建者按照操作所需的最低要求设计设备。例如,只有在设备的操作和维护需要USB端口或存储卡插槽时才应包括它们。应禁用未使用的港口和服务;

-除了坚持认证证书(如用户密码)应加盐、散列和(或)加密外,现在的原则明确规定,这适用于为防止未经授权的访问和暴力攻击而储存的所有证书;

-一项新的原则,即商定框架的创建者应制定“通信程序,以最大限度地提高用户对任何潜在的安全或隐私问题、终止生命通知和可能的产品召回的认识,包括在应用程序通知中。沟通应该被写成最大限度地理解一般用户的阅读水平。“

该框架部分基于美国政府机构的建议,包括商务部、国土安全部(DHS)、联邦通信委员会(FCC)和联邦贸易委员会(FTC),以及宽带互联网技术咨询小组(BITAG)、民主与技术中心(CDT)、美国消费者联合会(CFA)、消费者技术协会(CTA)、骑兵协会、国际电信联盟(电联)、互联网协会和全国房地产经纪人协会。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。