我們需要標簽�。就我個人而言�,標簽的存在對我的健康絕對至關重要。DigiCert數字信任副總裁 Mike Nelson 表示���,我需要它們了解我所吃食物的營養成分,并確定服用多少胰島素�����。
我們可能沒有注意到這一點�����,但產品標簽通常對我們的人身安全至關重要。它向我們展示了食物的營養成分����,讓我們了解電器產品的效率以及我們在家中使用的工具和產品的安全性�����。
標簽使我們能夠從根本上了解我們所購買的商品,進而讓供應商對我們的消費選擇負責��。在美國����,物聯網設備很快也將受到相同的要求�����。事實上�,白宮國家安全委員會很快就會推出針對物聯網產品的新標簽要求���。
在此之前�,白宮于 2021 年發布了一項行政命令,指示美國國家標準與技術研究院 (NIST)創建物聯網標簽計劃。
這些新要求預計將在未來幾個月內推出�,但有關物聯網標簽計劃可能要求的細節仍然很少�。
為什么這很重要
物聯網的潛力范圍廣泛,適用范圍廣泛�,從城市改造傳感器陣列到自動駕駛汽車���,再到會說話的兒童玩具��。因此,全球設備數量正在蓬勃發展�����。事實上����,根據IHS Markit 的數據,到 2030 年�,設備數量將達到 1250 億臺�。
物聯網設備爆炸式增長的不幸現實是它們通常非常不安全���。漏洞和不安全的設計決策從一開始就困擾著該領域����,盡管人們越來越意識到其風險�,但它的許多弱點在新設備中頑固地重現。
這些問題對于用戶來說基本上是不透明的,他們盲目地購買物聯網設備并將其帶入家中�,而沒有意識到其潛在的風險���。
這就是為什么標簽可能成為使物聯網更加安全的重要一步——它是數字信任向消費者領域的根本延伸��。標簽使我們能夠了解我們正在參與的內容,而無需必要的技術知識或能力來自行評估它們。
標簽要求
有關標簽計劃的具體細節尚未公布�����。然而����,NIST 于 2022 年 2 月發布了有關最低安全要求的建議。
至關重要的是,他們將物聯網設備視為系統的一部分,任何標簽考慮都必須擴展到該系統����。其中包括物聯網設備本身�,還包括其組件和設備運行所需的系統��,例如移動應用程序或專用網絡硬件�����。
這些建議還指出了一些用于資格認證的基線標準。其中第一個是“資產識別”,即設備可以由客戶和相關機構進行唯一識別。這可以通過在制造階段使用數字證書分配設備身份來實現。它還補充說,物聯網產品必須識別每個物聯網產品組件并維護最新的庫存。
然后,NIST 建議物聯網設備和適用的組件是可配置的,例如由授權個人(例如客戶)恢復到默認安全設置的能力����。這將幫助用戶根據自己的需求定制安全設置��。
數據保護是另一項重要建議。NIST 的報告宣稱����,物聯網產品及其組件可保護存儲和傳輸的數據免遭未經授權的訪問�。這可以通過數字證書來完成����,以維護該數據的機密性���、完整性和可用性�。
該報告還建議,設備必須能夠使用安全且可配置的機制接收����、驗證和應用軟件更新���。這可以通過代碼簽名證書來實現��,代碼簽名證書可以幫助驗證有效更新并阻止偽裝成更新的惡意軟件包,這是攻擊物聯網設備的關鍵向量��。
物聯網產品還必須記錄設備及其組件的安全狀態信息��,以便在出現安全風險時向客戶發出警報�。
這些是確保物聯網設備安全所需采取的重要步驟,但關于美國新標簽計劃將如何進行仍有許多懸而未決的問題����。
標簽會表明什么�����?
NIST 已經討論了以二進制方式發放標簽的可能性,這意味著設備將根據其是否合格而獲得標簽��。然而����,美國只是幾個啟動物聯網標簽的國家中最新的一個。
對于自己的物聯網標簽計劃���,新加坡為其標簽系統下的設備建立了四個分級�。第一個也是最低的表示該設備已滿足 ETSI EN 303 645 標準的基線要求。第二個表明該產品包含安全生命周期功能并遵循“安全設計”功能����。第三個表示該設備已經過第三方實驗室的軟件二進制分析�����,并且不存在已知的常見軟件漏洞。新加坡系統內的最終最高標準表明��,該設備已經過進一步的滲透測試���,以證明其對常見網絡攻擊的抵抗力�。
靜態標簽與自適應標簽
良好的網絡安全是一個不斷變化的目標。因此���,隨著新威脅和漏洞的出現,靜態標簽可能無法適應如此快的節奏���。能夠適應如此快速度的自適應標簽可能是最好的前進方向。這可以以二維碼的形式出現��,用戶可以掃描二維碼來訪問網頁����,該網頁可以輕松解釋安全風險并根據需要進行更新。
適應物聯網多樣性
物聯網涵蓋從智能水壺到智能城市的各種用例���,僅這兩個用例就有自己的考慮因素和要求。標簽標準必須適應設備類型和用例的多樣性�����,并且足夠靈活��,以便為不同設備提供不同的解決方案���。
供應鏈呢?
私營部門制定了自己的標簽標準,這可能為美國計劃的最終結果提供線索���。Matter 是連接標準聯盟 (CSA)和一系列硅谷巨頭之間開發的,旨在引入智能家居設備之間的互操作性和安全通信。
為了獲得 Matter 標簽的資格�,開發人員需要設計具有分層安全方法和一定級別的加密敏捷性的設備�����。然而,Matter 真正的優勢在于它在物聯網供應鏈中使用 PKI 和數字證書。
物聯網的許多各種安全問題都出現在其多方面且復雜的供應鏈中��。各種制造商�、開發商和供應商可能沒有安全背景,因此許多人可能會使用不安全的組件和設計實踐,或者忽視許多原本可以保證設備安全的最佳實踐。獲得 Matter 標簽的資格要求物聯網設備通過證書嵌入設備身份,然后可以在整個供應鏈中驗證該設備身份并到達消費者手中。供應鏈問題是物聯網不安全的一個關鍵原因,美國政府的計劃應該提出相應的要求。
盡管美國政府物聯網標簽計劃的許多細節仍不清楚�����,但將物聯網標簽引入全球最大消費市場的決定應該受到廣泛歡迎�����。消費者多年來一直在購買物聯網產品��,但往往對固有風險一無所知。當消費者可以在此基礎上做出決策時����,他們不僅能夠為良好的安全性創造市場激勵�����,而且數字信任可以成為物聯網產品的關鍵要求���。
沃卡惠
