广告

不注重设备安全性就别做IoT生意!

2020-04-25 Ann R. Thryft,EE Times特约作者 阅读:
不注重设备安全性就别做IoT生意!
2020年全世界的物联网设备安装量将达到350亿台,这意味着有350亿个让黑客威胁安全性的机会。

物联网(IoT)设备被黑客入侵导致数据被窃取、控制权被夺取等的案件层出不穷,包括Google与Samsung的Android平台相机应用程序,还有亚马逊(Amazon)旗下的Ring品牌家用保全摄影机,都曾经被“劫持”、用来窥探使用者。99Aednc

根据市场研究机构Omdia (前身为IHS Markit的科技市场研究部门)估计,2020年全世界的物联网设备安装量将达到350亿台;该机构企业研究部门副总裁Bill Morelli在接受《EE Times》采访的电子邮件中表示,这意味着有350亿个让黑客威胁安全性的机会。“因此,网络安全已经成为全球各个企业组织的第一优先,”他指出:“全球网络安全相关支出预计在2023年,从2019年的600亿美元激增至1,570亿美元。”99Aednc

每一个消费性物联网设备的安全漏洞,都可能导致数百万使用者的安全性与隐私权威胁;而且很多连网消费性产品的安全漏洞都不是被制造商发现的,反而是外部的网络安全专家,或是所谓的“白帽”(white-hat)黑客(EETT编按:就是没有犯罪恶意的善良黑客)。99Aednc

这也是为什么安全漏洞通报(vulnerability reporting)被广泛认为是对物联网设备安全性的基本要求;所以难道制造商不该基于这个理由,尽一切可能来征求这类的发现,以快速找到漏洞所在并进行修补?可惜事实显然并非如此。99Aednc

安全漏洞通报仍是一个新观念

产业组织“物联网安全性基金会”(IoT Security Foundation,IoTSF)的最新报告指出,有超过86%的消费性物联网设备制造商没有安全漏洞通报措施,政府主管机关短期内并没有相关强制要求的立法规划,当然也没有订定中的相关国际标准。99Aednc

这是该基金会第二次发行的年报,调查了全球共330家消费性物联网制造商;它们的产品从摄影机到洗衣机都有,其中最大的两个产品类别,是智能家用照明以及智慧家用保全。而就像报告中所写:“有些讽刺的是,智慧家用保全(smart home security)产品类别中的37家厂商,只有3家(占据该类别8%比例)明显拥有安全漏洞通报措施。”99Aednc

整体看来,具备安全漏洞通报措施的业者比例,从9.7%增加到了13.3%;除了少数例外,那些业者大部分是消费性品牌大厂,像是Amazon、Apple、FitBit、Dyson、Garmin、Google、HP、HTC、Huawei、Lenovo、LG、Motorola、Samsung、Siemens、Signify与Sony等公司。99Aednc

对此IoTSF管理总监John Moor接受《EE Times》访问时指出:“我们虽然还没有针对该比例这么低的原因进行正式研究,但我认为首先是业者缺乏认知,因为很多公司都是才刚进入连网嵌入式系统领域;其次,也最重要的是,这个问题没有责任归属,因为没有相关法规,所以有些公司根本不想自找麻烦。”99Aednc

但是,这其实花不了什么成本,最简单的安全漏洞通报系统只需要建立一个网页。业者缺乏认知是最大的问题;Moor表示,连网嵌入式设备的激增,“正剧烈改变电子设计以及对现场支持的要求。”他指出,为那些在传统上与外界隔绝的嵌入式设备添加链接性与软件功能,大大增加了系统以及它们链接对象之攻击面(attack surface)。99Aednc

一直到最近,安全漏洞通报程序都不是电子工程师或是他们的主管非常在意的事情,但这对于物联网设备来说是基本安全性要求。但就算是IoTSF调查中那44家拥有安全漏洞通报措施的公司,其通报程序也是五花八门而且复杂。99Aednc

IoTSF报告显示,超过三分之一的业者并没有设置通报时程以取得最佳效果,其中只有4家订定了90天的修正安全性问题期限。在这44家厂商中只有不到一半提供某种形式的错误通报奖励──给予金钱上的奖励,能让白帽黑客们更愿意将发现到的安全漏洞通报业者,而不是将之出售到“黑市”。99Aednc

99Aednc

一项针对全球消费性物联网设备制造商的最新年度调查显示,拥有安全漏洞通报措施的业者比例,只比去年增加一点点。(图片来源:IoT Security Foundation)99Aednc

“安全漏洞通报至关重要,”Moor强调:“如果你有一个能让任何人──包括客户、使用者、研究人员、白帽黑客──提供通报的管道,你就拥有了能及时修正问题的情报系统。”99Aednc

即将订定的标准将带来强制规范

美国国土安全部(U.S. Department of Homeland Security)已经提出保护物联网设备安全的建议,美国国家标准暨技术研究院(NIST)也公布了一份“给物联网设备制造商的建议”;IoTSF则为物联网设备开发者们提供“安全设计最佳实例指南”。99Aednc

包括欧洲电信标准协会(European Telecommunications Standards Institute,ESTI)等,则提案订定国际性的物联网安全标准;还有英国最近宣布将订定物联网安全法,将安全漏洞通报列为强制性规范。澳洲政府也有相关的行为准则提案。99Aednc

“虽然那些标准提案不尽相同,基本上都在描述相同的事情;”Moor表示,目前实际可用的安全漏洞处理程序标准是ISO/IEC 30111,2014与2015年的版本已经免费公开,但2019年版则受版权保护:“这会带来虽然低但是值得注意的一个门坎。”99Aednc

ETSI订定的标准预计今年夏天出炉,是以英国的消费性物联网安全性准则(UK Code of Practice for Consumer IoT Security)以及该准则的最低要求为基础,包括变更默认密码、设置安全漏洞通报措施,以及持续进行软件安全性更新等。99Aednc

99Aednc

根据全球性调查,拥有符合即将出炉标准或法规之安全漏洞通报措施的欧洲业者比例,低于北美与亚洲的业者。(图片来源:IoT Security Foundation)99Aednc

ETSI标准与英国法规的整体目标,是为物联网设备的网络安全性建立基线;相关标准的研究人员从消费性等级设备起步,是因为这些产品的成本最低,安全性要求也没有像医疗、汽车、国营事业基础设施等应用那么高。99Aednc

“如果连网设备制造商没有安全漏洞通报措施,它们根本不应该做连网设备生意;”Moor措词强硬地表示:“这对产业的成功以及终端使用者的安全至关重要,而且他们迟早得要有,因为强制性法规马上就要出现了。”99Aednc

(原文发表于ASPENCORE旗下EDN姐妹媒体EETimes,参考链接:IoT Device Vendors: Why Resist Vulnerability Reporting?,编译:Judith Cheng)99Aednc

本文为EDN电子技术设计 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
  • 从ADAS到驱动器更换:实际雷达性能是否足够好? 雷达不仅必须能够进行物体检测,还必须能够进行物体分类。这就要求雷达图像的分辨率比目前先进系统的分辨率更高。
  • 44年后的唐山大地震余震,是怎么预报的? 昨天(7月12日),河北唐山发生了里氏5.1级地震,电视上我们成功的提前得到了此次地震的预警,虽然时间很短,但对于很难预测的地震来说已经很难得。我们来看看地震是怎样预警预测的,专家又是怎么解读这是唐山大地震44年后的余震的。
  • 如何解决可穿戴式患者监护仪的五大设计挑战 如今的可穿戴医疗产品不仅可以测量生命体征,而且还可用作个人应急系统。由于这是一种复杂的终端设备,致使患者监护仪将面临五大常见的主要设计挑战:功耗(或电池寿命)、便携性(或大小)、患者安全、数据安全传送和集成。
  • 基于阿里云应用的食品光谱分析安全检测方案 虽然世卫组织明确了COVID-19不是食品安全问题,但此次疫情却给食品行业带来新的变化,切实推动了云服务在食品检测行业的发展。针对防疫所带来的更多基于云服务的大数据分析需求,食品检测行业需要新的解决方案来满足这一需求。
  • 机器人应用中的毫米波雷达传感器 随着机器人技术的进步,互补传感器技术也在进步。就像人类的五官感觉一样,通过将不同的传感技术结合起来,可在将机器人系统部署到不断变化、不受控制的环境中时取得最佳效果。
  • 一个实验探明热失控的反应机理 本作就是要把SOC(0~100%)和化学体系(NCA vs LFP)的影响进行系统的分析,而且本文还使用气相色谱对两种电芯热失控产气气氛的成分进行了分析,这对于我们倒推探明热失控的反应机理,评估热失控后产生气和热的影响以及开展相应的应对工作都具有很高的参考意义。
广告
热门推荐
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了