當(dāng)客戶構(gòu)思和設(shè)計(jì)他們的物聯(lián)網(wǎng)產(chǎn)品時(shí)，他們應(yīng)該意識(shí)到現(xiàn)在有新出現(xiàn)的義務(wù)，必須提供端到端的完全安全的物聯(lián)網(wǎng)解決方案。根據(jù)市場(chǎng)和目標(biāo)應(yīng)用空間，可能包括：

?

• 物聯(lián)網(wǎng)的新監(jiān)管合規(guī)要求
  • 《網(wǎng)絡(luò)護(hù)盾法案》
  • 《物聯(lián)網(wǎng)改進(jìn)法案》
  • 《改善國(guó)家網(wǎng)絡(luò)安全的行政命令》，2021 年 5 月 12 日
  • 《英國(guó)物聯(lián)網(wǎng)實(shí)踐守則》(U.K. IoT Code of Practice)
• 影響物聯(lián)網(wǎng)設(shè)備、網(wǎng)絡(luò)、基礎(chǔ)設(shè)施和應(yīng)用程序處理數(shù)據(jù)的數(shù)據(jù)隱私法規(guī)
  • 《加州消費(fèi)者隱私法案》(CCPA)，SB-327
  • 《通用數(shù)據(jù)保護(hù)條例》(GDPR)，歐盟數(shù)據(jù)保護(hù)和隱私法
  • 健康信息隱私 HIPAA
• 影響設(shè)計(jì)和實(shí)施安全要求的行業(yè)標(biāo)準(zhǔn)和最佳實(shí)踐
  • 《物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全能力核心基準(zhǔn)》NISTIR 8259
  • ETSI 技術(shù)規(guī)范 TS 103 645 和 ENISA 歐洲標(biāo)準(zhǔn) 303 645 – 消費(fèi)者物聯(lián)網(wǎng)網(wǎng)絡(luò)安全
  • NIST SP-800 和 NIST SP-1800 出版物
  • ISO/IEC 27000 信息安全標(biāo)準(zhǔn)系列
  • OWASP 嵌入式應(yīng)用程序安全
• 產(chǎn)品安全認(rèn)證
  • ioXt 聯(lián)盟設(shè)備認(rèn)證配置文件
  • ARM PSA（1 級(jí)、2 級(jí)和 3 級(jí)）
  • FDA 批準(zhǔn)的醫(yī)療器械（例如 DTSec SESIP）
  • FIPS140-3，通過(guò)加密模塊驗(yàn)證計(jì)劃 (CMVP)
  • UL 的物聯(lián)網(wǎng)安全評(píng)級(jí)
    

這個(gè)列表只是物聯(lián)網(wǎng)端到端安全要求的冰山一角。?除上述內(nèi)容外，客戶還必須應(yīng)對(duì)針對(duì)其產(chǎn)品的實(shí)際和重大網(wǎng)絡(luò)安全威脅，這一點(diǎn)從安全事件和攻擊的數(shù)量、頻率和嚴(yán)重程度的增加中可見(jiàn)一斑，這些事件和攻擊導(dǎo)致設(shè)備受損、數(shù)據(jù)被盜/丟失以及許多物聯(lián)網(wǎng)安全漏洞的公開(kāi)事件中的應(yīng)用程序和關(guān)鍵系統(tǒng)中斷。

鑒于開(kāi)始滿足這些要求所需的安全復(fù)雜性和專業(yè)知識(shí)水平，您如何開(kāi)始？

第一步是執(zhí)行安全評(píng)估和調(diào)查威脅趨勢(shì)，更清晰和連貫地了解影響客戶物聯(lián)網(wǎng)產(chǎn)品的風(fēng)險(xiǎn)和漏洞。事實(shí)上，第一步是使用威脅建模和實(shí)踐滲透（滲透）測(cè)試來(lái)評(píng)估和發(fā)現(xiàn)特定威脅。理想情況下，威脅評(píng)估和漏洞測(cè)試不僅應(yīng)在設(shè)備級(jí)別執(zhí)行，還應(yīng)包括網(wǎng)絡(luò)層（例如，無(wú)線網(wǎng)狀網(wǎng)絡(luò)、RF 協(xié)議和移動(dòng)設(shè)備連接）。它還應(yīng)涵蓋客戶云、數(shù)據(jù)和應(yīng)用程序?qū)又写嬖诘娜魏伟踩涂刂拼胧€應(yīng)涵蓋與機(jī)器學(xué)習(xí)、數(shù)據(jù)管理、分析和自動(dòng)化相關(guān)的隱私問(wèn)題。該測(cè)試應(yīng)是全面和專業(yè)的，以確保客戶充分了解在設(shè)計(jì)、生產(chǎn)和設(shè)備生命周期流程實(shí)施過(guò)程中需要解決的安全要求的范圍和細(xì)節(jié)。