物聯網（IoT）

物聯網（IoT）幾乎用于我們日常生活的方方面面，包括擴展到工業部門和應用（即工業物聯網（IIoT））。物聯網和IIoT構成了一個快速增長的領域，帶來了獨特的安全挑戰。[從這一點開始第四，當我們使用物聯網時，我們包括IIoT。其中一些在網絡物理系統安全CyBOK知識領域中進行了考慮，但我們在這里專門考慮了軟件生命周期問題。必須安全地配置設備，這些設備與云之間的連接必須安全，并且必須保護存儲和傳輸中的數據。然而，這些設備體積小，價格便宜，資源有限。制造商可能認為將安全性內置到每個設備中并不具有成本效益，具體取決于設備的價值及其收集的數據的重要性。基于IoT的解決方案通常具有大量地理位置分散的設備。由于這些技術挑戰，物聯網存在信任問題，其中大多數目前沒有解決方案，需要研究。然而，美國國家標準與技術研究院（NIST）推薦了四種開發基于物聯網的安全系統的實踐。

1.    使用射頻識別（RFID）標簽。傳感器及其數據可能會被干擾、刪除、丟棄或不安全傳輸。市場上存在假冒“東西”。唯一標識符可以通過將射頻識別（RFID）標記附加到設備來緩解此問題。讀卡器激活標簽，使設備在國際上政府為RFID使用保留的帶寬內廣播無線電波。無線電波傳輸引用與設備關聯的唯一信息的標識符或代碼。

2.    不使用或允許使用默認密碼或憑據。IoT設備的開發通常不會要求用戶和管理員在系統設置期間更改默認密碼。此外，設備通常缺乏用于更改憑據的直觀用戶界面。建議的做法是要求更改密碼或在直觀的界面中進行設計。或者，制造商可以隨機化每個設備的密碼，而不是使用少量的默認密碼。

3.    使用制造商使用說明（MUD）規范。制造商使用說明（MUD）28規范允許制造商指定授權和預期的用戶流量模式，通過限制與設備之間的通信到目標源和目標來減少物聯網設備的威脅面由制造商提供。

4.    開發安全升級過程。在非物聯網系統中，更新通常通過安全進程提供，在該過程中，計算機可以對推送補丁以及功能和配置更新的源進行身份驗證。物聯網制造商通常沒有建立這樣的安全升級過程，這使得攻擊者能夠對設備進行自己的惡意更新的中間人推送。IoT固件更新體系結構29提供有關實施安全固件更新體系結構的指導，包括定義設備制造商應如何操作的硬規則。

此外，英國數字、文化、媒體和體育部還提供了消費者物聯網安全行為準則。行為準則中包括13條準則，用于提高消費者物聯網產品和相關服務的安全性。其中兩個準則與上面的NIST項目符號2和4重疊。

指南的完整列表包括以下內容：

（1）沒有默認密碼;（2）實施漏洞披露政策;（3）保持軟件更新;（4）安全存儲憑據和安全敏感數據;（5）安全通信（即對敏感數據使用加密）;（6）盡量減少暴露的攻擊面;（6）確保軟件完整性（例如使用安全啟動）;（8）確保個人數據受到保護（即根據GDPR）;（9）使系統能夠抵御中斷;（10）監控系統遙測數據;（11）方便消費者刪除個人資料;（12）使設備的安裝和維護變得容易;（13）驗證輸入數據。

最后，Microsoft提供了物聯網安全架構。