是否有共同的标准来评估一个IoT设备的安全性？

Question

当你写一篇关于实现分类计算机视觉/机器学习算法的论文时，你可以简单地数出正数(正确的)负数/阳性数，以及负数(不正确的)负数/阳性数。然而，是否有一种方法来评估IoT设备及其安全性？如何解释评估？

我之所以问这个问题，是因为当你写一篇论文时，通常会有一个评估部分，而我对如何处理它感到困惑。

我唯一能想到的就是列出安全措施的总数。

Answer 1

当人们想到物联网时。大多数人认为不同的设备具有无数不同的操作系统和功能。

然而，如果你把它作为一个整体来看，而不是从每一个单独的部分来看，它实际上并不那么复杂。取决于您对操作系统的选择。大多数公司都有自己的安全指南，实际上，这些应用程序与我们的服务器和工作站并没有太大的不同。

强化与安全实现

您可以考虑引用以下指南，但不限于；以保护您的设备。

OWASP IOT项目

物联网安全基金会

顺式IOT指南

Windows 10 IOT指南

评估IOT安全性

至于测试，我要说的是，从这个作为指南开始会有帮助。

Owasp IOT测试方法

评估软件安全

至于软件的安全性评估，在你的例子中，计算机视觉/机器学习。您还可以在编码级别和配置上采用安全性评估，而不是具体地在物联网设备上进行评估。

这里有一些关于软件安全的参考

Owasp安全编码实践

微软安全编码指南

Answer 2

IoT安全框架

IoT安全框架通常可分为5类:可穿戴、家庭、城市、环境和企业。企业软件通常属于OWASP的权限，OWASP拥有OWASP物联网项目。企业软件经常对PII和支付卡信息进行处理，使其成为PCI DSS规范的一部分.虽然还没有严格监管，但国土安全部( https://www.dhs.gov/securingtheIoT ) --联邦贸易委员会( FTC ) --联邦贸易委员会( https://www.ftc.gov/tips-advice/business-center/guidance/careful-connections-building-security-internet-things ) --以及ENISA -- https://www.enisa.europa.eu/topics/iot-and-smart-infrastructures --也发布了关于IoT安全的指南和支持文件。

家用IoT设备和应用程序通常涉及iOS (好的，或tvOS)、安卓或类似的操作系统基础。如果您是为这些平台开发应用程序的ISV，请再次查看OWASP，在移动安全项目上，以及在V17移动安全验证要求下的ASVS标准。如果您主动地制造家庭IoT设备，包括自定义OS或堆栈，那么您还必须涉及到由您的位置(您的国家和/或设备将在哪里开发、购买和使用)所规定的管理要求，以及将使用这些设备的事务类型和人员。例如，婴儿监测器可能属于COPPA，心脏监测仪可能属于HIPAA和HITECH，食品和药物则属于FDA，等等。

对于美国军方来说，包括NIST在内的DIACAP和DITSCAP标准控制着所有的计算设备，包括IoT，尤其是可穿戴设备。

基于环境和城市的IoT更类似于ICS/SCADA技术。NIST选择了一个计划，将环境、城市和ICS纳入网络物理系统(CPS)的旗帜下，并在这里制定标准和框架--用于ICS/SCADA系统的https://www.nist.gov/el/cyber-physical-systems，NIST 800-82工业控制系统指南，是长期标准，但与NERC/FERC关于关键基础设施保护的遵守标准，特别是关于系统安全管理(CIP-007-5)的部分，以及与国际自动化协会及其所有包括ISA/IEC 62443标准(前ISA-99)的联系，无疑是最好的。CIP-007-5还遵守NIST关于安全事件监测的其他标准，包括NIST SP 800-92和SP 800-137，但关于持续诊断和监测的最新标准来自于DHS清洁发展机制框架。所有这些都适用于工业互联网物联网(IIoT)。

IoT安全平台

要获得一个能够主动扫描和生成基于物联网/物联网安全框架的报告的平台，请查看Pwnie http://m.marketwired.com/press-release/pwnie_快递_揭幕_产业_第一_互联网络_的_所有的一切_威胁性_检测_system-2010032.htm中的Pwnie平台

对于其他致力于为IoT设备提供安全和降低网络风险的标准接口的公司，请查看(按最显著到最低的顺序排列)：巴士底狱、安全设备、Dojo (由Bull卫兵收购)和BitDefender (制造IoT和智能产品安全增强器，BOX)。嵌入式系统安全领域的长期领导者WindRiver也发表了一篇详细介绍IoT安全性的论文-- PDF格式 PDF格式。

此外，只有少数公司在IoT设备和IoT服务层应用程序之间架设中间件层。当然，大公司也在尽自己的一份力量，但通常都有专有的接口，比如思科雾计算(微软Azure IoT套件，IBM平台，以及其他公司也有自己的做事方式)。改变IoT游戏的关键角色是在所有重要的仪表层工作，以及为中间件和应用提供标准，特别是云应用。NCC集团在这里为这些和其他安全测试人员发布了指南-- https://www.nccgroup.trust/uk/our-research/security-of-things-an-implementers-guide-to-cyber-security-for-internet-of-things-devices-and-beyond/。

AWS已经发布了关于IoT安全最佳实践的指南- https://aws.amazon.com/iot/ -并且通过他们的Thing项目(支持MQTT IoT协议标准)- https://docs.aws.amazon.com/iot/latest/developerguide/thing-shadow-mqtt.html -提供了中间件层。

Splunk已经生产了一种名为HTTP的产品，用于接收来自IoT和未来的物联网技术-- PDF格式 PDF格式的基于云的(Splunk，AWS等)机器数据。特别是，HEC支持令牌认证事件，这是一个很好的IoT安全特性.

Answer 3

Q.

有办法评估IoT设备及其安全性吗？

“当你写论文时，有评估部分，但你会在里面写些什么呢？”

A.

物联网是一个如此广泛的领域，我怀疑是否会有一个单一的“随心所欲”的标准，你将能够在你的文档中使用。用户使用IOT设备的环境也有一定的依赖性。

理想情况下，您可能希望聘请安全专家，并在设备上进行漏洞扫描/渗透测试。这种参与还可以包括代码审查和关于设备未来如何安全的讨论(修补、漏洞管理等)。然后，可以在文档中使用此过程的输出。

您还应该向安全专家提供有关预期部署场景的信息，因为这也将对所需的安全控制产生影响。以上提供的CIS链接是一个良好的开端，它将帮助您开始思考需要查看的领域。