安全面试:BSI如何保护IOT自身
reversinglabs公开提供超过100个雅拉规则
多个网络中断企业企业每年数百万英镑
双因素身份验证已破坏:接下来是什么?
政府推出太空创新计划
StarHub为消费者和企业开始5G商业审判
挪威地下数据传播的可持续发展凭证Lure绿色投资基金
缩放U-Turn on端到端加密
Amdocs通过Openet采集提升5G产品组合
主敦促政府立即采取在线危害的行动
英国政府向共享农村网络计划迈进
政府推出IOT安全资金回合
Telco Edge在APAC中陪伴5G推出
警方需要激进改革来应对21世纪的挑战
在英国的新建家庭来到千兆 - 速度准备好了
Facebook iOS SDK漏洞链接到Spotify App Stuctions枯萎的Apple Device用户
全球联盟推出了非洲连接的“转型性”海底电缆
SD-WAN获得澳大利亚企业的势头
政府资助九个先进保安项目
开源软件的Bolster安全性的新基础
优化的网络基础架构,可见性,体验管理表格在业务中下一个边防
Centrica呼吁Vodafone 5G Tech以帮助提供储气设备
DVLA制作技术进步
4G到达Jubilee线的东部一半
IBM庆祝Quantum Cloud四周年,编码挑战
Kaminario在云中提供削减价格虚拟SAN
五个迹象即将被赎金软件击中
信任问题:大学和供应商在钩子上的数据泄露
桑坦德招聘3000名IT人员
欧盟支持竞标以构建欧洲研究界的数据保存云收集速度
公司丢失了数字转型成本飙升
移民的权利活动家将办公室与法院签证算法
veeam添加CDP,加上谷歌云作为目标
家庭办公室加强了对AWS的承诺,占100万英镑的云托管交易
Gitlab使Foray进入东南亚
Gartner:超过三分之二的管理任务将自动化
马来西亚的关联Hwang是如何利用数据分析
Equinix拾取了裸云提供商包,以加强其边缘计算播放
AWS如何帮助橄榄球粉丝在吉尼斯六个国家锦标赛中的参与
新的GDPR服务旨在缓解合规挑战
整理荷兰政府的混乱
布里斯托尔大学使用Oracle云基础设施来加速吸烟药物发现
Capgemini说,自动化可以帮助解决店铺缺口
AWS要求暂时停止微软的JEDI云合同上的Microsoft的工作
NHS Digital完成了对AWS云的前两个主要服务迁移
诺基亚和SoftBank要求5G首先用于连通汽车
它优先事项2020:IP网络投资中东IT领导人的首要任务
在办公室365共享内容政策提出的问题
Internet Explorer零日在99个补丁周二问题中
诺基亚声称端到端4G和5G新的无线电切片首先
您的位置:首页 >科技 > 物联科技 >

安全面试:BSI如何保护IOT自身

2021-09-12 17:45:07 [来源]:

你有没有买过一件东西(物联网)的智能锁,为你的前门?我们在这里无法命名的一个这样的设备包含了一个严重的网络安全漏洞,这些漏洞影响了所有用户,但幸运的是,在它到达市场之前,英国标准机构(BSI)的测试人员和研究人员的裂缝团队已获得锁定它的情况。

该缺陷在设备设置过程中讨论了调试过程,说,BSI的全球数字和连接产品认证总监大卫·穆达表示,监督此类事宜。如果可以在设置过程中由恶意演员捕获设备,则可以使集线器欺骗,以便将其滚动回到长期以来的安全标准并采取控制。

但是,现实情况有多大可能?不是很好,泥泞每周告诉计算机。“这是一个聪明的锁,”他说。“对于某人制作这项工作,他们必须知道我在购买智能锁,在调试信号被发送或有某人或某些东西时坐在那里等待那些特定的信号来发送。

“此时,他们可能会利用六年前宣布的脆弱性,没有任何证据表明任何人都积极剥削。这是一个锁。如果他们想闯入你的房子,他们会通过你的窗户粘在一起。我们必须看看什么是实用的。“

当涉及到网络安全披露时,这种情况并不少见,特别是那些与无线网络协议中的缺陷相关的方案 - 与IOT的常见问题。通常,他们需要满足这些特定条件,以便为网络罪犯获得任何从中获得任何东西,野外剥削的实际危险是不切实际的。

现在这在商业世界的某种程度上正在发生变化,网络罪犯正在进行越来越多地研究和有针对性的攻击,但对于普通消费者来说,这并不是一项真正的考虑。

“这是我们在评估产品时真正关注的是,它是旨在使用的环境是什么,并且可能是由于妥协产品而导致的真实攻击向量是什么?”泥泞说。

实用主义这个词并不是非常性感,但对于BSI来说,这是一个巨大的交易。“我看到的一个不同之一,我看到的事情是如何围绕着一种非常务实的方法,了解真正的风险,”泥泞说。

顺便提一下,Mudd的团队不会建议您购买此特定锁并在银行金库上使用它;但是对于家庭使用,它被传递为适合目的。“没有什么能得到100%的安全,但我们所说的是它的意图是安全的,”他说。

截至120年前的工程标准委员会在120年代,BSI担任英国国家标准机构,跨越各种各样的地区。其Kitemark批准印章是在1903年使用的首次使用,已成为着名 - BSI索赔的80%以上的英国成年人可以识别。

它于2018年推出的IoT Kitemark保证了产品符合若干标准:该产品必须达到并保持符合ISO 9001标准的标准,并通过了相关的性能和安全测试,IT与互联网之间的互操作性测试,以及初始渗透率测试。它还必须经常监控和评估,包括功能和互操作性测试,更多的笔测试和Kitemark审核,以便在语境中审查笔测试结果以及采取的行动。

正如Mudd所说,这并不意味着你在架子上看到的每个产品都是铁匠的架子。“当我们希望评估产品时,我们永远不会说产品的安全性,”他说。“我们会说的是我们看过它的预期用途,可以说这个产品有适当的控制。”

BSI还具有一些余资,以务实的是,您需要深入的测试。“在它是一个具有安全性或安全性的产品作为主要功能的产品,我们通常会在我们的实验室中测试自己,以非常高的水平,”Mudd说。

但是,如果产品具有不同的功能可能不是那么重要的功能,BSI将评估技术文件,但会让其他认证组织在市场中评估该产品的核心功能,例如扬声器或者电吹风。

BSI的IOT实验室

在测试的核心,是由数字,文化,媒体和运动(DCMS)和国家网络安全中心(NCSC)的设计练习设计守则所载的13项原则。代码的前三个原则 - 所有消费者的IOT设备密码必须是唯一的,而不能归类于任何出厂设置;由于任何人拖累漏洞,那么机器设备制造商必须有一个公开的联系点,并且该报告很快就行动;并且,制造商必须明确说明最短的时间长度,该设备将在销售时接收到的设备 - 现在正在立法。

“从我的角度来看,这13个原则中没有任何复杂的是,任何制造商都应该无法在一开始和设计中,”泥潭说。“但我们所看到的就是,即使是前三名,产品也是如此。

“默认密码是一个明显的密码,但具有正式的漏洞泄露政策并具有软件更新的政策 - 这通常是公司对签署并致力于致力于的,但我们不会投入信任的标志在制造商将其放置在没有负责任的披露政策的任何产品上。“

Mudd了解为什么制造商可能会担心这些最后两种原则,但警告说,粘在沙子中的头部更糟糕,特别是在涉及负责任的披露时。

“我们认为这是一个问题的关键领域之一就是这是一个沙子的方法,”他说。“我经常听到会议​​人民,人们说他们不会被黑客入侵,他们的产品只是一个小部件,只是一个灯泡,只是一个传感器 - 谁对此感兴趣?或者他们使用军事级加密,因此它们是安全的。在制造商在市场上放置产品似乎仍然存在缺乏所有权。“

Mudd Reckons有几个原因可能是这样的原因。首先,许多制造商正在进入对其新的IOT部门,并且不一定了解风险,或者可能使用第三方技术来实现最低可行的产品(MVP),而不会有适当的域知识。

“这里的关键点是承认这将是一个问题,并有一些管理它的过程,”他说。“但如果组织没有那样,我们将不会对产品的信任标记。”

BSI还围绕互操作性测试,因为即使产品充分地执行其核心函数,这不会给出任何保证,例如,固件或芯片组的安全性以及哪些服务级别协议(SLA )可能与任何第三方供应商合同。保持这种评估水平仅仅需要实验室的物理测试;它需要认证设备的控制应用程序以及与其相关联的任何云存储和管理系统。

通常,这将要求BSI将人员送入制造商以回答一些关键问题,例如:设计团队的技能组织是什么;他们实际上是否通过设计原则来确保;它们如何实际转移到其供应链;他们与供应链有什么SLA;他们为地平线扫描做了什么?

“这与将产品的信任标记作为物理测试,这同样至关重要,我们认为是一个真正的差异化,”Mudd说。

Mudd强调IOT实验室的中央原则之一是在智能连接设备的买家之中或提交过程中的制造商中,不能传播恐惧,不确定性和怀疑。

“我们并不是说你需要得到你的产品测试或者你将被黑客攻击,而是,那里有很多不确定性,我们可以帮助嵌入您的产品中的信任,降低周围的风险,并帮助你差异化,“他说。

“我们认为这是一个积极的事情,而不是你需要做的事情来表明你无法被黑客攻击。我们的Kitemark不会使产品不错,我们的客户使产品变得良好,Kitemark反映了他们所做的事情,使得该产品的好和区别。

“这是关键消息 - 这是如何向世界证明你所做的世界......而不是我们的客户来区分,而是让消费者开始了解消息并跟上。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。