物联网已经发展到每个人都将他们的产品连接到互联网的过程中。这很好,因为它为企业开辟了新的创收机会,全新的商业模式可以产生快速增长。然而在某些情况下,他们似乎对保护这些设备几乎没有兴趣。在这篇文章中,我们将探讨嵌入式开发团队在其嵌入式产品中忽视安全性的主要原因。
原因 #1 – 认为增加安全性是昂贵的
我相信嵌入式领域仍然存在安全性昂贵的看法。由于我们的经济体系以供需为基础,在供应短缺的情况下,这些商品或服务的成本会更高。安全专家通常会为他们的时间收取费用,管理层通常会考虑这些成本并假设他们在整个开发周期中都需要该专家。实际上,许多嵌入式产品不需要全职安全专家在场,可以提前与专家联系以创建威胁模型和安全目标,然后在整个开发周期中定期进行。公司因安全漏洞而付出的成本可能要高出几个数量级。
原因 #2 – 我们将“稍后添加”
在很多情况下,公司都希望包括安全性,但是在产品开发的早期,资金短缺的时候,安全性往往是最不重要的。出于许多善意,团队通常认为他们会在我们完成这个 sprint 或这个开发周期之后再添加它,这里遇到的问题是你无法在开发周期结束时添加安全性。
一个安全的解决方案需要一个深思熟虑的过程,包括从开发周期的一开始就开始安全分析。嵌入式开发人员需要遵循像 Arms 平台安全架构 (PSA) 这样的流程,让他们从一开始就评估他们的系统资产和威胁。预先这样做的好处是它有助于为系统生成安全要求和目标,以保护这些资产免受预期威胁。然后,这导致选择可以支持安全目标的硬件和执行它所需的软件。显然,从最后开始可能会导致选择错误的硬件和软件,这意味着要么回去重做它,要么以不太安全的解决方案为代价接受现有的东西。
原因 #3 - 团队太着急了
很多开发团队都落后于进度并且很匆忙。新的初创企业,经验丰富的成功团队,总是有太多的事情要做,而且时间(或预算)永远不够。在许多情况下,团队可能正在开发一种新产品,并且需要快速进入市场以开始产生收入,以便他们能够支付账单。虽然他们可能正在考虑安全性并希望他们的系统是安全的,但首要任务是构建能够产生收入的产品,在许多情况下,这非常接近于最低限度的可行产品。在这些情况下,我们需要改变我们对连接设备的想法,将安全性作为最小可行产品的核心组件。急于上市从来都不是正确的答案。
结论:
安全性是任何连接设备的基本要素。安全性不能添加到产品的末尾,必须从一开始就仔细考虑。如果没有事先考虑,嵌入式开发团队就无法确保他们拥有正确的硬件组件来正确隔离他们的软件组件,或者期望在他们的应用程序中拥有正确的软件框架来正确管理和保护他们的产品。
发表评论 取消回复