现在,很多公司都希望寻求物联网来提高产品竞争力,用来超越对手或者提高产品利润。在一些市场营销宣传影响下,人们可能会相信自己需要一个能在回家前5分钟把水烧开的智能水壶,这样就可以在进门后几分钟内喝上一杯热茶……
根据研究机构Gartner公司的报告,到2020年,大约有208亿个物联网设备可以连接到互联网,随着无所不在的成本更低的传感器的处理能力提高,以及带宽的推动,每天将增加约550万个设备。此外,到2020年,一半以上的主要新业务流程和系统将纳入物联网的一些要素。
如果说您也正在考虑采购物联网设备,有些因素你需要慎重考虑一下。
购买前
1. 制造商是否可靠?他们有能力在产品的整个生命周期内维持运营吗?
如果你希望自己部署的产品能够为企业服务5-10年,但是提供该产品的公司连一年都维持不了就消失了,那还谈什么售后保障呢!
2. 该产品是同类产品中的首创,还是与其他产品存在竞争关系?
这个问题的关键在于,有些公司会选择牺牲一些东西,以便率先进入市场,而最典型地牺牲内容之一就是产品安全性。
3. 产品供应商发布更新的频率如何?
如果一件产品已经面市了多年,但却尚未发布过任何更新,你可能需要询问其供应商是否切实地维护过其产品。
4. 固件是自动更新还是需要手动干预?
虽然你可能希望对某些关键任务设备进行手动更新控制,但是有些产品可能无法实现这种部署方式,因此,预先了解自身对正在运行的软件版本的控制程度十分重要。
5. 产品中是否存在已报告的漏洞?
如果供应商发布有关产品漏洞的公告,不要将其视为“坏事”。因为没有产品是完全安全的,重要的是要看供应商对漏洞的态度和响应行为。真正令人担忧的是那些对漏洞信息毫无反应,甚至试图掩盖关键漏洞的供应商。
6. 供应商是否已设立安全页面?
该页面应该包含过去出现过的安全问题、更新和联系信息。如果他们的网站上不存在任何形式的安全内容和联系人,那么该供应商显然是不过关的。
购买后30天内
1. 如果设备包含接入点(简称AP),则应检查AP是否未打开。
很多产品多年来都忽略了这一点(未曾打开AP),结果在从无线网络中取消认证时,就会创建一个开放的、不安全的无线接入点。
对此进行测试的方法很简单,就是将设备与无线网络关联,然后拔下无线网络约10分钟。如果你看到自己的设备随AP出现在移动设备上,则说明它并未打开。
2. 任何相关的云接口有多强大?
接口是否允许单点登录?它是否允许多因素身份验证?重要的是,您使用的任何Web界面都要能够提供安全性,让您高枕无忧。
3. 哪些数据在云端传输(进来/出去)?
你是否知道正通过新的IoT设备离开网络的是哪些数据?该设备允许进入您网络的流量又是多少?
4. 实际更新固件有多容易/困难?
在采购设备之前,您通常已经了解了固件更新是手动还是自动的。但是,您无法确认安装过程中涉及的步骤。我倾向于支持允许单键升级的应用程序,而不是冗长乏味的手动更新过程。
5. 接口是否足够安全?
如果您能够确认下述信息那就更好了:它是否需要对关键操作进行身份验证?您的本地网络上是否存在不需要凭据的开放API?凭据是以纯文本形式发送的吗?
6. 完成端口扫描
非常重要的一点是,您需要了解清楚在您的网络上哪些服务是开放的,以及哪些服务正在窃听您的网络行为。
7. 书写评论
我认为,大多数产品评论根本毫无用处。他们要么是付费评论员,没有真正地使用过产品;要么就是缺乏提供有效技术意见的能力。您可以用简单地文字撰写产品评论,描述清楚产品的利弊,讨论产品的安全性,为潜在购买者提供有效的信息。
深度自检表
1. 审核设备固件
如果您不确定从哪里开始,有一些课程可以帮助您解决这个问题。它可以提供一种很好的机制来查找和识别漏洞。
2. 审核设备的Web界面
与固件一样,确切了解设备的工作原理是确保您在使用产品时能够保持安全的绝佳方法。
3. 接触供应商安全团队
您接触他们不必非要为了产品安全问题,你也可以测试他们对协作的响应能力和开放性。明确地了解供应商的安全团队如何应对问题非常重要。
4. 寻找该设备的其他用户
您可以寻找一个subreddit论坛或邮件列表,供用户聚在一起讨论该产品属性。这些社交论坛经常会分享一些用户并未察觉的漏洞信息,是真正提供学习和分享机会的好地方。
5. 参加培训课程
如果你想要深度探索物联网设备采购这门学问,建议您可以选择一门课程来帮助您更好地准备设备审核过程。拥有常见IoT设备工具包可以帮助您更轻松地识别自身设备中的错误。
您在购买新设备时,有自己倾向的自检清单条目吗?欢迎留言分享!
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。