想採購物聯網裝置?你得先看一下這個自檢表
現在,很多公司都希望尋求物聯網來提高產品競爭力,用來超越對手或者提高產品利潤。在一些市場營銷宣傳影響下,人們可能會相信自己需要一個能在回家前5分鐘把水燒開的智慧水壺,這樣就可以在進門後幾分鐘內喝上一杯熱茶……
根據研究機構Gartner公司的報告,到2020年,大約有208億個物聯網裝置可以連線到網際網路,隨著無所不在的成本更低的感測器的處理能力提高,以及頻寬的推動,每天將增加約 550萬 個裝置。 此外,到2020年,一半以上的主要新業務流程和系統將納入物聯網的一些要素。
如果說您也正在考慮採購物聯網裝置,有些因素你需要慎重考慮一下。
購買前
1. 製造商是否可靠?他們有能力在產品的整個生命週期內維持運營嗎?
如果你希望自己部署的產品能夠為企業服務5-10年,但是提供該產品的公司連一年都維持不了就消失了,那還談什麼售後保障呢!
2. 該產品是同類產品中的首創,還是與其他產品存在競爭關係?
這個問題的關鍵在於,有些公司會選擇犧牲一些東西,以便率先進入市場,而最典型地犧牲內容之一就是產品安全性。
3. 產品供應商釋出更新的頻率如何?
如果一件產品已經面市了多年,但卻尚未釋出過任何更新,你可能需要詢問其供應商是否切實地維護過其產品。
4. 韌體是自動更新還是需要手動干預?
雖然你可能希望對某些關鍵任務裝置進行手動更新控制,但是有些產品可能無法實現這種部署方式,因此,預先了解自身對正在執行的軟體版本的控制程度十分重要。
5. 產品中是否存在已報告的漏洞?
如果供應商釋出有關產品漏洞的公告,不要將其視為“壞事”。因為沒有產品是完全安全的,重要的是要看供應商對漏洞的態度和響應行為。真正令人擔憂的是那些對漏洞資訊毫無反應,甚至試圖掩蓋關鍵漏洞的供應商。
6. 供應商是否已設立安全頁面?
該頁面應該包含過去出現過的安全問題、更新和聯絡資訊。如果他們的網站上不存在任何形式的安全內容和聯絡人,那麼該供應商顯然是不過關的。
購買後30天內
1. 如果裝置包含接入點(簡稱AP),則應檢查AP是否未開啟。
很多產品多年來都忽略了這一點(未曾開啟AP),結果在從無線網路中取消認證時,就會建立一個開放的、不安全的無線接入點。
對此進行測試的方法很簡單,就是將裝置與無線網路關聯,然後拔下無線網路約10分鐘。如果你看到自己的裝置隨AP出現在移動裝置上,則說明它並未開啟。
2. 任何相關的雲介面有多強大?
介面是否允許單點登入?它是否允許多因素身份驗證?重要的是,您使用的任何Web介面都要能夠提供安全性,讓您高枕無憂。
3. 哪些資料在雲端傳輸(進來/出去)?
你是否知道正通過新的IoT裝置離開網路的是哪些資料?該裝置允許進入您網路的流量又是多少?
4. 實際更新韌體有多容易/困難?
在採購裝置之前,您通常已經瞭解了韌體更新是手動還是自動的。但是,您無法確認安裝過程中涉及的步驟。我傾向於支援允許單鍵升級的應用程式,而不是冗長乏味的手動更新過程。
5. 介面是否足夠安全?
如果您能夠確認下述資訊那就更好了:它是否需要對關鍵操作進行身份驗證?您的本地網路上是否存在不需要憑據的開放API?憑據是以純文字形式傳送的嗎?
6. 完成埠掃描
非常重要的一點是,您需要了解清楚在您的網路上哪些服務是開放的,以及哪些服務正在竊聽您的網路行為。
7. 書寫評論
我認為,大多數產品評論根本毫無用處。他們要麼是付費評論員,沒有真正地使用過產品;要麼就是缺乏提供有效技術意見的能力。您可以用簡單地文字撰寫產品評論,描述清楚產品的利弊,討論產品的安全性,為潛在購買者提供有效的資訊。
深度自檢表
1. 稽核裝置韌體
如果您不確定從哪裡開始,有一些課程可以幫助您解決這個問題。它可以提供一種很好的機制來查詢和識別漏洞。
2. 稽核裝置的Web介面
與韌體一樣,確切瞭解裝置的工作原理是確保您在使用產品時能夠保持安全的絕佳方法。
3. 接觸供應商安全團隊
您接觸他們不必非要為了產品安全問題,你也可以測試他們對協作的響應能力和開放性。明確地瞭解供應商的安全團隊如何應對問題非常重要。
4. 尋找該裝置的其他使用者
您可以尋找一個subreddit論壇或郵件列表,供使用者聚在一起討論該產品屬性。這些社交論壇經常會分享一些使用者並未察覺的漏洞資訊,是真正提供學習和分享機會的好地方。
5. 參加培訓課程
如果你想要深度探索物聯網裝置採購這門學問,建議您可以選擇一門課程來幫助您更好地準備裝置稽核過程。擁有常見IoT裝置工具包可以幫助您更輕鬆地識別自身裝置中的錯誤。
您在購買新裝置時,有自己傾向的自檢清單條目嗎?歡迎留言分享!