保护物联网

据估计，全球约有150亿台物联网的联网设备，预计到2030年，这一数字将几乎翻一番，对强大的安全和隐私控制的需求从未像现在这样重要。

随着这些相互连接的设备继续融入我们的日常生活中，它们对网络威胁的易感性呈指数级增长。ISO/IEC 27402认识到这一需求问题，建议制定一套突破性的专门针对增强物联网设备安全性和隐私性的基线要求的国际标准。

网络攻击

根据攻击者的动机和资源，有几种针对物联网设备的网络攻击。物联网设备上一些最常见的网络攻击类型包括：

DDoS攻击：分布式拒绝服务攻击旨在利用来自受攻击的物联网设备的大量流量淹没网络或服务器。这可能会导致网络或服务器速度减慢或崩溃，影响依赖它们的服务或应用程序的可用性和性能。2016年，Mirai恶意软件感染了数百万台物联网设备，将它们变成机器人，并利用它们对多个网站发起大规模DDoS攻击。

MITM攻击：中间人攻击涉及拦截或更改物联网设备与其服务器或控制器（如移动应用程序或云平台）之间的通信。这可能使攻击者能够窃取敏感数据、操纵设备行为或注入恶意命令。物联网设备上的MITM攻击的一个例子是2017年的KRACK攻击，该攻击利用Wi-Fi协议中的一个漏洞破坏加密，劫持物联网设备和无线接入点之间的流量。

暴力攻击：这些攻击涉及尝试不同的用户名和密码组合，以获得对物联网设备或账户的未经授权的访问。这可以让黑客控制设备、更改设置或安装恶意软件。对物联网设备进行暴力攻击的一个例子是Silex恶意软件，该软件在2019年针对具有默认或弱证书的物联网设备，并擦除其固件，使其无法使用。 

窃听攻击：这些攻击涉及窃听物联网设备传输的数据，如音频、视频或传感器读数。这可以使攻击者监视用户，收集个人或机密信息，或识别漏洞。物联网设备窃听攻击的一个例子是Verkada黑客攻击，该攻击在2021年暴露了包括医院、学校和监狱在内的多个组织中超过15万个安全摄像头的实时信息。

现实情况

物联网设备在网络和系统中的广泛使用使其成为网络攻击的诱人目标。这些设备的相互关联性带来了漏洞，如果这些漏洞被利用，可能会产生深远的后果。认识到解决这些风险的紧迫性，ISO/IEC 27402就增强物联网设备的安全性和隐私性所需的基本功能和对策提供了重要指导。

整体方法：风险评估和处理

这项新的国际标准的核心是一个全面的风险评估框架。了解物联网设备的相关风险，对于制定有效的风险处理计划至关重要。其理念是，通过识别所需的功能和对策，用户可以积极缓解潜在威胁，确保物联网设备符合最高的安全和隐私标准。

标准的使用范围

ISO/IEC 27402大致概述了适用于进入市场的物联网设备的要求。这些要求是各种垂直市场根据其独特应用和相关风险制定额外规范的基准。卫生、金融服务、工业、消费电子和运输等部门可以利用这一标准作为制定特定部门要求的基础。

可扩展的全球方法

ISO/IEC 27402不仅提供了一种可扩展的方法来解决物联网设备的动态特性，而且还促进了观念的全球统一。它为安全和隐私要求提供了一个共同的基线，是在全球范围内为技术政策和监管举措提供的宝贵工具。

ISO/IEC 27402是ISO/IEC 27000标准家族的一部分，该标准为组织内启动、实施、维护和改进信息安全管理提供了指导。27000系列标准包括ISO/IEC 27001，它提供了关于实施信息安全管理系统（ISMS）的详细建议。ISO/IEC 27402是IEC和ISO联合技术委员会SC 27的工作。该分委员会负责制定信息安全和隐私保护及相关主题的国际管理和技术标准。SC 27的范围包括制定系统、信息技术、流程和服务的安全和隐私保护标准。