物联网开发人员需要了解的网络安全标签

随着物联网和网络犯罪分子的增长，物联网设备的安全性已经成为一个更加突出的问题。监管机构在适应这些趋势方面进展缓慢，但这种情况正在改变。许多新兴法律和可选认证旨在让物联网开发人员遵守更高的标准。

FCC和NIST的美国网络信任标志，旨在帮助消费者识别值得信赖的物联网设备。其他国家也已经采取了类似的计划。在这一趋势中，消费者的安全意识将会提高，使得物联网安全标准对于保持竞争力变得越来越重要。

美国网络信任标志

美国政府于2022年宣布了物联网标签计划，并于2023年将其再次确定为网络信任标志。最终的法规仍在制定中，但监管机构预计其将于2024年生效，开发人员可以通过审查NIST的推荐标准来做好准备。

其中一些建议直接适用于开发人员，包括工作流程实践，例如持续更新和文档。大多数人关注设备本身，关注硬件和软件安全性，特别是当它们影响用户的知识水平和保护这些端点的能力时。

网络信任标志是一项自愿计划，但不推行该计划可能存在风险。消费者愿意为安全的物联网设备支付更高的费用，而信任标志将高安全性选项与安全性较低的替代品区分开来。因此，其生效后可能会影响物联网销售。

全球物联网网络安全标签要求

美国网络信任标志并不是唯一需要考虑的物联网设备安全标签。国际上也存在类似的计划，影响到那些产品在非美国市场销售的开发者，就像GDPR适用于在欧洲运营的美国企业一样。

考虑到2022年该地区的物联网收入达到477亿美元，欧洲应该是全球开发商特别关注的焦点。欧盟的《网络弹性法案》(CRA)包括类似于网络信任标志的物联网规范。其他标签计划包括英国的《消费者物联网安全行为准则》和新加坡的《网络安全标签计划》(CLS)。

CRA是强制性法律，而CLS和英国实践守则则是自愿性计划。与网络信任标志一样，这些可能不会导致法律问题，但未能满足更高标准可能会影响这些地区的业务。

开发人员如何实施物联网安全标签

即使物联网安全标签是可选的，实现它们也意味着确保设备满足更高的标准。这些标准的证明使物联网产品对注重安全的市场更具吸引力。以下是开发人员如何通过拥抱这些计划来利用这个机会。

审查适用标准

从监管的角度来看，物联网设备安全的第一步是审查要遵守哪些法律或标准。虽然标签计划之间存在很多交叉，但具体要求会有所不同，因此决定最重要的要求很重要。

CRA对于瞄准欧洲市场的物联网开发者而言是必须的，因为其是强制性的。而对于其他计划，则应该考虑最大的客户群在哪。如果想要实现多个标签，则须以最严格的要求为目标。遵守这一标准，将使其更容易获得其他具有全球吸引力的认证。

在审查要遵循哪些标准时，要避免坚持最低标准。超越将有助于获得更高级别的认证，并最大限度地降低风险，以改善现实世界的结果。这与生产优化类似，喷油压缩机尽管配备了过滤器，但仍可能污染多氯联苯，因此无油选择是首选。

确保安全通信

许多主要标签计划要求物联网端点具有安全通信协议。通常，这意味着默认情况下对传输中的数据进行加密，但除此之外的范围还有待解释。

英国的《消费者物联网安全实践准则》建议，加密措施取决于使用环境，并且可以不断发展。因此，其不需要特定的方法，但建议开发人员根据数据、设备使用情况和当前威胁形势确定适当的加密实践。相比之下，CRA特别推荐传输层安全或消息队列遥测传输。

可以将这些类型的加密作为选项包含在内，但最好默认启用。这样可以最大限度地减少了用户错误危害物联网设备安全的空间——这是许多标签计划的重点。

启用威胁检测

标准(包括美国网络信任标志)也可能要求设备具有检测和报告异常行为的方法。鉴于物联网设备的处理能力有限，这可能会很棘手，但总有办法可以解决。

如果没有边缘计算，人工智能支持的连续监控可能不是一个选择，但也不一定是必须具备的。相反，可以为正常设备行为建立基线。即使相对简单的算法也可以检测到行为何时超出这些参数并触发警告消息。

这些警报应该发送给终端用户和物联网企业。这样，无论谁在任何情况下对威胁负责，都可以及时做出响应。

确保透明度

用户透明度是物联网设备安全需要解决的另一个关键领域。网络信任标志、CRA和其他标签计划都要求开发人员向终端用户披露潜在的威胁。因此，必须让用户了解最佳实践。

多达95%的网络安全问题源于人为错误，但监管机构倾向于将用户教育的责任推给物联网企业。如果人们不知道哪些行为有风险，就无法安全地采取行动，因此开发人员必须促进更安全的使用。

理想情况下，设计应尽量减少人为错误的空间，但提供选择总是意味着接受一些与错误相关的风险。要解决此问题，需检查产品以了解某些用户行为可能会在何处产生漏洞。在用户手册中讨论这些危险行为，并建议更安全的替代方案或最佳实践，例如创建强而独特的密码。

测试产品并提供持续支持

测试是许多物联网标签计划的另一个重要方面。许多软件在发布之前都需要测试，以确保符合更高的安全标准。在提交设计以获得监管批准之前进行测试是不必要的，但建议简化流程。

新加坡基于分层的CLS的最高级别需要第三方渗透测试来验证设备安全性。其他标准没有走得那么远，但是无论如何，采用这些独立的测试是一种有效的临时安全监督方法。

同样，几乎所有标签计划都需要持续的测试和支持。这意味着定期研究新出现的风险，并发布OTA更新来解决这些风险。考虑到更新中毒风险，安全启动、代码签名和加密更新身份验证措施等功能都至关重要。

网络安全标签对于物联网开发人员至关重要

随着消费者越来越意识到物联网的安全风险，其标准将会提高。标签计划符合这些标准，为物联网开发人员提供了一种证明其产品安全性的方法。

在某些情况下，满足这些标签要求可以避免监管罚款。在其他方面，也帮助利用不断变化的市场。无论如何，其都是在日益监管和安全的市场中竞争的关键部分。