现在,很多公司都希望寻求物联网来提高产品竞争力,用来超越对手或者提高产品利润。在一些市场营销宣传影响下,人们可能会相信自己需要一个能在回家前5分钟把水烧开的智能水壶,这样就可以在进门后几分钟内喝上一杯热茶……
根据研究机构Gartner公司的报告,到2020年,大约有208亿个物联网设备可以连接到互联网,随着无所不在的成本更低的传感器的处理能力提高,以及带宽的推动,每天将增加约550万个设备。此外,到2020年,一半以上的主要新业务流程和系统将纳入物联网的一些要素。
如果说您也正在考虑采购物联网设备,有些因素你需要慎重考虑一下。
1. 购买前
(1) 制造商是否可靠?他们有能力在产品的整个生命周期内维持运营吗?
如果你希望自己部署的产品能够为企业服务5-10年,但是提供该产品的公司连一年都维持不了就消失了,那还谈什么售后保障呢!
(2) 该产品是同类产品中的首创,还是与其他产品存在竞争关系?
这个问题的关键在于,有些公司会选择牺牲一些东西,以便率先进入市场,而最典型地牺牲内容之一就是产品安全性。
(3) 产品供应商发布更新的频率如何?
如果一件产品已经面市了多年,但却尚未发布过任何更新,你可能需要询问其供应商是否切实地维护过其产品。
(4) 固件是自动更新还是需要手动干预?
虽然你可能希望对某些关键任务设备进行手动更新控制,但是有些产品可能无法实现这种部署方式,因此,预先了解自身对正在运行的软件版本的控制程度十分重要。
(5) 产品中是否存在已报告的漏洞?
如果供应商发布有关产品漏洞的公告,不要将其视为“坏事”。因为没有产品是完全安全的,重要的是要看供应商对漏洞的态度和响应行为。真正令人担忧的是那些对漏洞信息毫无反应,甚至试图掩盖关键漏洞的供应商。
(6) 供应商是否已设立安全页面?
该页面应该包含过去出现过的安全问题、更新和联系信息。如果他们的网站上不存在任何形式的安全内容和联系人,那么该供应商显然是不过关的。
2. 购买后30天内
(1) 如果设备包含接入点(简称AP),则应检查AP是否未打开。
很多产品多年来都忽略了这一点(未曾打开AP),结果在从无线网络中取消认证时,就会创建一个开放的、不安全的无线接入点。
对此进行测试的方法很简单,就是将设备与无线网络关联,然后拔下无线网络约10分钟。如果你看到自己的设备随AP出现在移动设备上,则说明它并未打开。
(2) 任何相关的云接口有多强大?
接口是否允许单点登录?它是否允许多因素身份验证?重要的是,您使用的任何Web界面都要能够提供安全性,让您高枕无忧。
(3) 哪些数据在云端传输(进来/出去)?
你是否知道正通过新的IoT设备离开网络的是哪些数据?该设备允许进入您网络的流量又是多少?
(4) 实际更新固件有多容易/困难?
在采购设备之前,您通常已经了解了固件更新是手动还是自动的。但是,您无法确认安装过程中涉及的步骤。我倾向于支持允许单键升级的应用程序,而不是冗长乏味的手动更新过程。
(5) 接口是否足够安全?
如果您能够确认下述信息那就更好了:它是否需要对关键操作进行身份验证?您的本地网络上是否存在不需要凭据的开放API?凭据是以纯文本形式发送的吗?
(6) 完成端口扫描
非常重要的一点是,您需要了解清楚在您的网络上哪些服务是开放的,以及哪些服务正在窃听您的网络行为。
(7) 书写评论
我认为,大多数产品评论根本毫无用处。他们要么是付费评论员,没有真正地使用过产品;要么就是缺乏提供有效技术意见的能力。您可以用简单地文字撰写产品评论,描述清楚产品的利弊,讨论产品的安全性,为潜在购买者提供有效的信息。
3. 深度自检表
(1) 审核设备固件
如果您不确定从哪里开始,有一些课程可以帮助您解决这个问题。它可以提供一种很好的机制来查找和识别漏洞。
(2) 审核设备的Web界面
与固件一样,确切了解设备的工作原理是确保您在使用产品时能够保持安全的***方法。
(3) 接触供应商安全团队
您接触他们不必非要为了产品安全问题,你也可以测试他们对协作的响应能力和开放性。明确地了解供应商的安全团队如何应对问题非常重要。
(4) 寻找该设备的其他用户
您可以寻找一个subreddit论坛或邮件列表,供用户聚在一起讨论该产品属性。这些社交论坛经常会分享一些用户并未察觉的漏洞信息,是真正提供学习和分享机会的好地方。
(5) 参加培训课程
如果你想要深度探索物联网设备采购这门学问,建议您可以选择一门课程来帮助您更好地准备设备审核过程。拥有常见IoT设备工具包可以帮助您更轻松地识别自身设备中的错误。
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】