當客戶構思和設計他們的物聯網產品時，他們應該意識到現在有新出現的義務，必須提供端到端的完全安全的物聯網解決方案。根據市場和目標應用空間，可能包括：

?

• 物聯網的新監管合規要求
  • 《網絡護盾法案》
  • 《物聯網改進法案》
  • 《改善國家網絡安全的行政命令》，2021 年 5 月 12 日
  • 《英國物聯網實踐守則》(U.K. IoT Code of Practice)
• 影響物聯網設備、網絡、基礎設施和應用程序處理數據的數據隱私法規
  • 《加州消費者隱私法案》(CCPA)，SB-327
  • 《通用數據保護條例》(GDPR)，歐盟數據保護和隱私法
  • 健康信息隱私 HIPAA
• 影響設計和實施安全要求的行業標準和最佳實踐
  • 《物聯網設備網絡安全能力核心基準》NISTIR 8259
  • ETSI 技術規范 TS 103 645 和 ENISA 歐洲標準 303 645 – 消費者物聯網網絡安全
  • NIST SP-800 和 NIST SP-1800 出版物
  • ISO/IEC 27000 信息安全標準系列
  • OWASP 嵌入式應用程序安全
• 產品安全認證
  • ioXt 聯盟設備認證配置文件
  • ARM PSA（1 級、2 級和 3 級）
  • FDA 批準的醫療器械（例如 DTSec SESIP）
  • FIPS140-3，通過加密模塊驗證計劃 (CMVP)
  • UL 的物聯網安全評級
    

這個列表只是物聯網端到端安全要求的冰山一角。?除上述內容外，客戶還必須應對針對其產品的實際和重大網絡安全威脅，這一點從安全事件和攻擊的數量、頻率和嚴重程度的增加中可見一斑，這些事件和攻擊導致設備受損、數據被盜/丟失以及許多物聯網安全漏洞的公開事件中的應用程序和關鍵系統中斷。

鑒于開始滿足這些要求所需的安全復雜性和專業知識水平，您如何開始？

第一步是執行安全評估和調查威脅趨勢，更清晰和連貫地了解影響客戶物聯網產品的風險和漏洞。事實上，第一步是使用威脅建模和實踐滲透（滲透）測試來評估和發現特定威脅。理想情況下，威脅評估和漏洞測試不僅應在設備級別執行，還應包括網絡層（例如，無線網狀網絡、RF 協議和移動設備連接）。它還應涵蓋客戶云、數據和應用程序層中存在的任何安全和控制措施，還應涵蓋與機器學習、數據管理、分析和自動化相關的隱私問題。該測試應是全面和專業的，以確保客戶充分了解在設計、生產和設備生命周期流程實施過程中需要解決的安全要求的范圍和細節。