现在很多企业都希望寻求物联网来提高产品竞争力,用它来超越竞争对手或者增加产品利润。通过一些营销炒作,人们可能认为他们需要一个智能水壶,它可以在回家前5分钟烧开水,这样他们就可以在进门后几分钟内喝到一杯热茶……根据研究公司Gartner的报告,到2020年,将有大约208亿台物联网设备连接到互联网,随着无处不在的低成本传感器提高处理能力和带宽,每天增加大约550万台设备。此外,到2020年,超过一半的主要新业务流程和系统将包含物联网的某些元素。如果您也在考虑购买物联网设备,则需要仔细考虑一些因素。一、购买前(一)厂家靠谱吗?他们是否能够在整个产品生命周期内维持运营?如果你期望你部署的产品能为你的业务服务5-10年,但如果维护不了一年,它就会消失,那么售后保证是什么?(2)该产品是同类产品中的首创,还是与其他产品竞争?这个问题的关键在于有些企业会选择牺牲一些东西,为了抢先上市,最典型的牺牲之一就是产品安全。(3)产品供应商多久发布一次更新?如果一个产品已经上市几年并且没有发布任何更新,你可能想问问供应商他们是否真的在维护他们的产品。(4)固件是自动更新还是需要人工干预?虽然您可能希望对某些关键任务设备进行手动更新控制,但某些产品可能无法实施此类部署,因此请预先了解您自己对所运行软件版本的控制。控制的程度非常重要。(5)产品中是否存在已报告的漏洞?如果供应商发布有关产品漏洞的公告,请不要将其视为“坏事”。因为没有产品是绝对安全的,所以看厂商对漏洞的态度和应对行为很重要。真正令人担忧的是供应商不响应漏洞信息,甚至试图掩盖关键漏洞。(6)供应商是否有安全页面?此页面应包括过去的安全问题、更新和联系信息。如果他们的网站上没有任何类型的安全内容和联系人,那么供应商显然不够好。2、购买后30天内(1)如果设备含有接入点(简称AP),应检查AP是否未开启。许多产品多年来一直忽略这一点(不打开AP),当它们从无线网络中取消身份验证时,会创建一个开放的、不安全的无线接入点。对此进行测试的方法很简单,就是将设备与无线网络相关联,然后拔下电源约10分钟。如果您看到您的设备出现在带有AP的移动设备上,则它没有打开。(2)任何关联的云接口有多稳健?接口是否允许单点登录?它是否允许多重身份验证?重要的是,您使用的任何Web界面都能提供安全性和安心感。(3)哪些数据在云端传输(输入/输出)?您知道哪些数据会随着新的物联网设备离开网络吗?该设备允许多少流量进入您的网络?(4)实际更新了多少固件?容易/困难?在购买设备之前,您通常已经知道固件更新是手动的还是自动的。但是,您无法确认安装过程中涉及的步骤。我倾向于支持允许一键升级的应用程序,而不是繁琐的手动更新过程。(5)接口是否足够安全?如果能确认一下就好了:关键操作是否需要鉴权?您的本地网络上是否有不需要凭据的开放API?凭据以纯文本形式发送?(6)完成端口扫描非常重要,你需要知道你的网络上开放了哪些服务,哪些服务在窃听你的网络活动。(7)撰写评论在我看来,大多数产品评论根本没有用。他们要么是没有实际使用过产品的付费评论者;或者他们缺乏提供有效技术建议的能力。可以用简单的文字撰写产品评论,清楚地描述产品的优缺点,讨论产品的安全性,为潜在购买者提供有效信息。3.深入检查清单(1)审核设备固件如果您不确定从哪里开始,有些课程可以帮助您解决这个问题。它可以提供一个很好的机制来查找和识别漏洞。(2)审核设备的网络界面与固件一样,准确了解设备的工作原理是确保您在使用产品时保持安全的唯一方法。(3)与供应商安全团队接洽您不必为产品安全问题接近他们,您还可以测试他们的响应能力和对协作的开放程度。清楚了解供应商的安全团队如何响应问题非常重要。(4)查找此设备的其他用户您可以查找用户聚集在一起讨论此产品属性的subreddit论坛或邮件列表。这些社交论坛经常分享用户可能不知道的漏洞信息,是真正的学习和分享场所。(5)参加培训课程如果您想深入了解物联网设备采购知识,建议您选择一门课程,帮助您更好地为设备审核流程做准备。拥有一个常见物联网设备的工具包可以帮助您更轻松地识别自己设备中的错误。【本文为专栏作家“李少鹏”原创文章,转载请通过暗牛(微信♂id:gooann-sectv)获得授权】点此查看作者更多好文
