首个IoT安全产品测试指南发布

关键要点

在2022年9月1日于柏林举行的消费电子展上，工作人员正在安装三星能效厨房电器的展位。 (图片来源：Adam Berry/Getty Images)

反恶意软件测试标准组织AMTSO在周四发布了针对物联网IoT安全产品的首份测试指南。

根据测试者与供应商的意见，这份指南涵盖了以下几个方面：对IoT安全产品的基本测试原则；提供测试环境的建议；特定安全功能的测试；检测能力的评估；以及为测试者提供性能基准的建议。

AMTSO董事会成员Vlad Iliushin表示：“测试IoT安全解决方案与反恶意软件测试有很大不同，因为它们需要保护各种智能设备，这使得测试环境的设置具有挑战性。”他补充道：“此外，由于智能设备主要运行在Linux系统上，测试人员必须使用这些设备易受攻击的特定威胁样本，以使他们的评估具有相关性。”

Delinea的网络安全传播者Tony Goulding指出，安全和隐私的指南推动了行业法规的制定，例如PCI、HIPAA和SOX。Goulding强调，保护在敏感环境中使用的IoT设备的访问权限至关重要。

“由于没有相应的法规，AMTSO的指南代表了一种朝正确方向迈进的步伐，帮助IoT供应商测试其产品对检测和防止攻击的能力，”Goulding说。“作为一个安全社区，我们努力消除或削弱攻击通道，以避免对我们的基础设施造成非法访问，从而导致数据泄露、勒索软件攻击或关键运营技术基础设施的瘫痪。IoT设备代表了额外的攻击通道，增加了我们的攻击面。组织在选择供应商时应优先考虑经过此类测试的IoT产品，以确保减少这些风险。”

Viakoo的首席执行官Bud Broomhead表示，IoT设备代表了一个快速增长的攻击面。他指出，保护脆弱的IoT设备对企业来说变得至关重要，因为被攻击的IoT设备可能导致严重后果，如勒索软件攻击、数据丢失、改变市政供水的化学平衡、用深度伪造替换真实视频画面或干扰交通系统。

Broomhead表示：“许多网络犯罪分子以IoT设备作为攻击入口，因为攻击者可以利用这些设备在企业网络中横向移动，从而导致广泛的安全漏洞。”