物联网开发人员需要了解哪些关于网络安全标签的信息

随着物联网和网络犯罪的增长，物联网设备安全已成为一个日益突出的问题。监管机构在适应这些趋势方面进展缓慢，但这种情况正在改变。许多新出现的法律和可选认证都试图以更高的标准来要求物联网开发商。cdWednc

FCC和NIST的美国网络信任标志旨在帮助消费者识别值得信赖的物联网设备。类似的计划也已经在其他国家开展起来。在这一趋势下，消费者的安全意识将不断提高，使得物联网安全标准对于保持竞争力变得越来越重要。cdWednc

美国网络信任标志

美国政府于2022年宣布了物联网标签计划，并于2023年再次确定其为网络信任标志。最终的法规仍在酝酿之中，但监管机构预计它们将于2024年生效，开发人员可以通过审查NIST的推荐标准来做好准备。cdWednc

其中一些建议直接适用于开发人员，涵盖持续更新和文档等工作流程实践。大多数建议则侧重于设备本身，关注硬件和软件的安全性，特别是因为它们会影响用户的认识水平和保护这些终端的能力。cdWednc

网络信任标志是一项自愿性计划，但不采用该计划可能会有风险。消费者愿意为安全的物联网设备支付更多费用，而信任标志可将高安全性选项与安全性较低的替代产品区分开来。因此，该计划生效后很可能会影响物联网销售。cdWednc

全球物联网网络安全标签要求

美国网络信任标志并不是唯一需要考虑的物联网设备安全标签。国际上也存在类似的计划，影响着产品在非美国市场销售的开发商，就像GDPR适用于在欧洲运营的美国公司一样。cdWednc

考虑到2022年欧洲地区的物联网收入为477亿美元，欧洲应该成为全球开发商的重点关注对象。欧盟的网络弹性法案(CRA)包括与网络信任标志类似的物联网规范。其他标签计划包括英国的消费者物联网安全实践准则和新加坡的网络安全标签计划(CLS)。cdWednc

CRA是一项强制性法律，而CLS和英国实践准则则是自愿性计划。与网络信任标志一样，这些计划可能不会导致法律问题，但未能满足更高的标准可能会影响这些地区的业务。cdWednc

开发人员如何实施物联网安全标签

即使物联网安全标签是可选的，获得这些标签也意味着要确保设备符合更高的标准。这些标准的证明使物联网产品对注重安全的市场更具吸引力。以下是开发人员如何通过接受这些计划来利用这个机会。cdWednc

审查适用的标准

从监管的角度来看，物联网设备安全的第一步是审查要遵守哪些法律或标准。虽然标签计划之间存在很多交叉，但具体要求会有所不同，因此确定最重要的要求很重要。cdWednc

对于瞄准欧洲市场的物联网开发者来说，CRA是必须遵守的，因为它是强制性的。对于其他计划，您应该考虑最大的客户群在哪里。如果您想获得多个标签，请瞄准要求最严格的标准。遵守这一条将使您更容易通过其他认证，从而在全球范围内获得吸引力。cdWednc

在审查要遵循哪些标准时，请避免拘泥于最低标准。超越将有助于获得更高级别的认证，并最大限度地降低风险以改善实际效果。这与生产优化类似，尽管有过滤器，喷油压缩机仍然会污染PCB，因此最好选择无油压缩机。cdWednc

确保安全通信

许多主要的标签计划都要求物联网终端具有安全的通信协议。一般来说，这意味着默认情况下要对传输中的数据进行加密，但除此之外的加密方式则有待解释。cdWednc

英国的消费者物联网安全实践准则建议加密措施取决于使用环境并且可以不断发展。因此，它并不要求采用特定的方法，而是建议开发人员根据数据、设备使用情况和当前威胁状况来确定适当的加密实践。相比之下，CRA特别推荐传输层安全或消息队列遥测传输。cdWednc

您可能已经将这些类型的加密作为选项包含在内，但最好还是默认启用它们。这样可以最大限度地减少用户错误危害物联网设备安全的可能性，这是许多标签计划的一大重点。cdWednc

启用威胁检测

包括美国网络信任标识在内的标准还可能要求设备具备检测和报告异常行为的手段。鉴于物联网设备的处理能力有限，这一点可能很棘手，但有一些方法可以解决这个问题。cdWednc

如果没有边缘计算，人工智能支持的持续监控很可能无法实现，但这并不一定是必须要有的。相反，您可以建立设备正常行为的基线。即使是相对简单的算法，也能检测到超出这些参数的行为，并触发警告信息。cdWednc

这些警报应同时发送给终端用户和物联网公司。这样，无论谁在任何情况下对威胁负责，都可以及时做出反应。cdWednc

确保透明度

用户透明度是物联网设备安全需要解决的另一个关键领域。网络信任标志、CRA和其他标签计划都要求开发人员向终端用户披露潜在威胁。同样，您必须向用户提供有关最佳实践的宣传教育。cdWednc

多达95%的网络安全问题源于人为错误，但监管机构倾向于将用户教育的责任交给物联网公司。如果人们不知道哪些行为有风险，就无法安全地采取行动，因此开发人员必须推广更安全的使用方法。cdWednc

理想情况下，设计应尽量减少人为错误的空间，但提供选择总是意味着接受一些与错误相关的风险。要解决此问题，请检查您的产品以了解某些用户行为可能造成的什么样的漏洞。在用户手册中讨论这些危险行为，并提出更安全的替代方法或最佳实践，例如创建强而独特的密码。cdWednc

测试产品并提供持续支持

测试是许多物联网标签计划的另一个重要方面。许多计划都要求在发布前进行测试，以确保它们满足更高的安全标准。在提交设计供监管部门批准之前进行测试并非必要的，但建议简化流程进行测试。cdWednc

新加坡CLS的最高级别要求第三方渗透测试来验证设备的安全性。其他标准并没有这么严格，但无论如何，接受这些独立测试都是加强安全监督的有效方法。cdWednc

同样，几乎所有标签计划都需要持续的测试和支持。这意味着要定期研究新出现的风险，并发布OTA更新来解决这些风险。考虑到更新中毒风险，安全启动、代码签名和加密更新身份验证措施等功能都至关重要。cdWednc

网络安全标签对于物联网开发人员至关重要

随着消费者愈发意识到物联网的安全风险，他们的标准也会随之提高。标签计划针对这些标准，为物联网开发人员提供了一种证明其产品安全性的途径。cdWednc

在某些情况下，满足这些标签要求可以避免监管罚款。在另一些情况下，它们帮助开发商充分利用不断变化的市场。不过无论如何，这都是在监管日益严格、安全日益受到重视的市场中竞争的重要一环。cdWednc

(原文刊登于EDN姊妹网站Embedded，参考链接：What IoT developers need to know about cybersecurity labels，由Ricardo Xie编译。)cdWednc