IoT 建设者保障用户数据安全的 16 种方式 | GMTC

作者｜Expert Panel® Forbes Technology Council

策划｜黎安

物联网（IoT）将各种各样的设备（从厨房电器到智能手机）连接到互联网并相互连接。通过传感器、软件和处理器，这些设备可以交换信息以执行某些功能，通过学习和预测用户的需求，让日常任务变得更简单。

消费者从 IoT 设备中寻找的便利和服务需要“燃料”——而为 IoT 设备提供动力的燃料是数据。IoT 设备不断收集和交换敏感数据，因此，任何为 IoT 生产技术的公司都必须优先考虑数据安全。接下来，福布斯技术委员会的 16 名成员分享了如何帮助 IoT 公司确保其最新产品尽可能实现最佳的数据安全策略。

1实施零信任安全

IoT 提供商应实施零信任安全范式，要求团队消除被恶意攻击者利用的隐性信任。应将其应用于 IoT 生态系统设计和实施的所有领域，提高产品的安全态势。- Raj Utraja, Gore Mutual Insurance

2优先考虑自己和供应商运营的安全性

制造商如果不保护自身的运营，就无法保护客户数据。除了保护客户数据的 IT 安全措施外，使用物联网技术的公司还必须通过战略伙伴关系和广泛合作，优先考虑自身及供应商运营的安全。可见性和监控是确保不间断作业的关键。- Ryan Moody, ABS Group of Companies, Inc.

3在整个生命周期内保护数据

对于物联网公司来说，安全需要从一开始就考虑，数据安全意味着如何在整个生命周期内保护数据。在数据产生和收集以及在何时何地传输和存储数据方面，需要考虑到安全问题。在整个过程中，应制定和实施安全使用数据的政策。- Tim Liu, Hillstone Networks

4考虑设备、网络和后端系统漏洞

没有“一刀切”的做法。需要在整个物联网生命周期中降低风险，包括单个级别的设备、网络以及用户和客户后端系统中的漏洞。在每个数据点都需要谨慎地使用加密。- Bankim Chandra, Dotsquares LLC

5在设计团队中添加网络安全 SME

确保产品安全的关键是从一开始就考虑到安全性，所以，你的产品团队必须有网络安全专家。他们应该参与任何新产品或添加到现有产品中的任何新功能的设计讨论、日常站立会议和代码审查。- Jeffrey Ton, InterVision

6不断评估安全性和可靠性

你的物联网应用平台需要是“防弹的”。当今几乎所有基于技术的网络威胁都利用了应用程序和操作系统代码中的漏洞。IoT 开发人员必须从头到尾不断地评估其产品的安全性和可靠性。此外，他们必须从暗网收集关于他们的产品和集成组件的网络情报。- Howard Taylor, Radware

7加密使用中、运动中和静止中的数据

除了建立全面的网络准备，所有生产物联网技术的公司都应该对使用中、运动中和静止中的数据进行加密。数据也应该是物理上的“气隙”，这意味着备份应该离线和异地存储。- Tara Anderson, Framework Security

8采用端到端的安全方法

由于物联网的复杂性，首席安全信息官应采取端到端的安全方法来确保物联网解决方案的安全。我建议首先定义当前的安全成熟度模型级别。然后，在解决基于差距的策略、问题和需求的同时，确定进入预期阶段所需的行动。在微软，我们遵循物联网安全成熟度模型从业者指南。- Pablo Junco, Microsoft

9根据用例选择合适的密码

随时随地加密一切。这意味着在静态、传输过程中以及在可行的情况下，在处理过程中使用密码学健全的密码套件进行加密。然而，为用例选择合适的密码也很重要——知道何时应该使用流式密码和分组密码，以免破坏性能。你不会想要一个没有人使用的非常安全的产品。- Saša Zdjelar, Salesforce

10确保数据存储服务拥有可靠的记录

对于一家公司来说，了解客户的数据存储在哪里是绝对必要的。在缺乏为所拥有的数据提供顶级数字和物理安全的内部能力的情况下，有可能利用外部服务。但要确保提供这些服务的公司在保持高水平的数据安全方面有良好的记录。- Chintan Shah, Brainvire InfoTech Inc.

11匿名敏感数据

公司必须从源头保护数据，对于物联网公司来说，一种有效的方法是将以数据为中心的保护集成到分析管道中。这意味着使用屏蔽、标记化和加密对敏感数据进行匿名化，具体取决于数据在下游的使用方式。在数据创建时和整个生命周期内保护数据有助于公司遵守数据隐私法。- Ameesh Divatia, Baffle, Inc.

12与硬件制造商密切合作

与 IoT 芯片和固件制造商密切合作。这些公司正在投资 PSA 三级认证，并使用先进的技术，如如物理不可克隆功能和将运行 IoT 设备的逻辑与软件分离。利用硬件领域的聪明人来击败脚本小子。- James Beecham, ALTR

13仅允许通过零信任、端到端加密对数据进行授权访问

随着物联网使用的增加，企业系统更容易发生数据泄露，因为威胁环境正在以快速的速度演变。唯一的解决方案是零信任、端到端加密，只允许对数据进行授权访问。智能设备和嵌入式系统的使用，以及物联网网关加密和具有远程服务器的云数据中心的使用是必不可少的。- Dharmesh Acharya, Radixweb

14聘请安全专家和第三方测试人员

必须对所有新的发展采取多管齐下的方法。让安全专家成为团队的一员——他们应该参与整个项目，从架构开发和规划到代码审查和产品发布。此外，考虑使用外部第三方进行渗透测试和任何其他有意义的安全测试。最后，雇用一个独立的第三方来破解程序。- Jay Marshall, EyeLock LLC

15内置定期更新密码的需求

确保你构建了一个流程，要求用户将密码更改为包含字母、数字和特殊字符的密码，并每 60 到 90 天更新一次。这将确保用户的数据在设备上受到保护。- Margarita Simonova, ILoveMyQA

16建立透明的数据安全政策

数据保护将决定物联网的未来。传感器不断地产生和交叉参考数据。处理网络安全问题、监督设备访问、建立设备的物理和逻辑标识以及执行定期审计的透明政策是关键。- Robert Strzelecki, TenderHut

原文链接：

https://www.forbes.com/sites/forbestechcouncil/2022/08/04/16-ways-iot-builders-can-ensure-the-security-of-users-data/

 活动推荐

目前国内 IoT 设备应用场景还处于碎片化状态，为了促进 IoT 动态应用能力的进一步发展，即将举办的 GMTC 全球大前端技术大会（北京站）上，我们策划了「 IoT 动态应用开发」专题，邀请了蚂蚁集团高级技术专家王佐（入弦）担任出品人，已确定《优酷 OTT 小程序应用实践》和《美的 IoT 跨平台开发框架方案与实现》两个议题，更多精彩内容正在打磨上线中。

点击底部【阅读原文】直达大会日程页，查看更多精彩议题，大会购票 9 折限时优惠，组团学习还能享更多折扣，感兴趣的同学联系票务经理：+86 13269078023