广告

不注重设备安全性就别做IoT生意!

2020-04-25 11:20:13 Ann R. Thryft,EE Times特约作者 阅读:
2020年全世界的物联网设备安装量将达到350亿台,这意味着有350亿个让黑客威胁安全性的机会。

物联网(IoT)设备被黑客入侵导致数据被窃取、控制权被夺取等的案件层出不穷,包括Google与Samsung的Android平台相机应用程序,还有亚马逊(Amazon)旗下的Ring品牌家用保全摄影机,都曾经被“劫持”、用来窥探使用者。xW8ednc

根据市场研究机构Omdia (前身为IHS Markit的科技市场研究部门)估计,2020年全世界的物联网设备安装量将达到350亿台;该机构企业研究部门副总裁Bill Morelli在接受《EE Times》采访的电子邮件中表示,这意味着有350亿个让黑客威胁安全性的机会。“因此,网络安全已经成为全球各个企业组织的第一优先,”他指出:“全球网络安全相关支出预计在2023年,从2019年的600亿美元激增至1,570亿美元。”xW8ednc

每一个消费性物联网设备的安全漏洞,都可能导致数百万使用者的安全性与隐私权威胁;而且很多连网消费性产品的安全漏洞都不是被制造商发现的,反而是外部的网络安全专家,或是所谓的“白帽”(white-hat)黑客(EETT编按:就是没有犯罪恶意的善良黑客)。xW8ednc

这也是为什么安全漏洞通报(vulnerability reporting)被广泛认为是对物联网设备安全性的基本要求;所以难道制造商不该基于这个理由,尽一切可能来征求这类的发现,以快速找到漏洞所在并进行修补?可惜事实显然并非如此。xW8ednc

安全漏洞通报仍是一个新观念

产业组织“物联网安全性基金会”(IoT Security Foundation,IoTSF)的最新报告指出,有超过86%的消费性物联网设备制造商没有安全漏洞通报措施,政府主管机关短期内并没有相关强制要求的立法规划,当然也没有订定中的相关国际标准。xW8ednc

这是该基金会第二次发行的年报,调查了全球共330家消费性物联网制造商;它们的产品从摄影机到洗衣机都有,其中最大的两个产品类别,是智能家用照明以及智慧家用保全。而就像报告中所写:“有些讽刺的是,智慧家用保全(smart home security)产品类别中的37家厂商,只有3家(占据该类别8%比例)明显拥有安全漏洞通报措施。”xW8ednc

整体看来,具备安全漏洞通报措施的业者比例,从9.7%增加到了13.3%;除了少数例外,那些业者大部分是消费性品牌大厂,像是Amazon、Apple、FitBit、Dyson、Garmin、Google、HP、HTC、Huawei、Lenovo、LG、Motorola、Samsung、Siemens、Signify与Sony等公司。xW8ednc

对此IoTSF管理总监John Moor接受《EE Times》访问时指出:“我们虽然还没有针对该比例这么低的原因进行正式研究,但我认为首先是业者缺乏认知,因为很多公司都是才刚进入连网嵌入式系统领域;其次,也最重要的是,这个问题没有责任归属,因为没有相关法规,所以有些公司根本不想自找麻烦。”xW8ednc

但是,这其实花不了什么成本,最简单的安全漏洞通报系统只需要建立一个网页。业者缺乏认知是最大的问题;Moor表示,连网嵌入式设备的激增,“正剧烈改变电子设计以及对现场支持的要求。”他指出,为那些在传统上与外界隔绝的嵌入式设备添加链接性与软件功能,大大增加了系统以及它们链接对象之攻击面(attack surface)。xW8ednc

一直到最近,安全漏洞通报程序都不是电子工程师或是他们的主管非常在意的事情,但这对于物联网设备来说是基本安全性要求。但就算是IoTSF调查中那44家拥有安全漏洞通报措施的公司,其通报程序也是五花八门而且复杂。xW8ednc

IoTSF报告显示,超过三分之一的业者并没有设置通报时程以取得最佳效果,其中只有4家订定了90天的修正安全性问题期限。在这44家厂商中只有不到一半提供某种形式的错误通报奖励──给予金钱上的奖励,能让白帽黑客们更愿意将发现到的安全漏洞通报业者,而不是将之出售到“黑市”。xW8ednc

xW8ednc

一项针对全球消费性物联网设备制造商的最新年度调查显示,拥有安全漏洞通报措施的业者比例,只比去年增加一点点。(图片来源:IoT Security Foundation)xW8ednc

“安全漏洞通报至关重要,”Moor强调:“如果你有一个能让任何人──包括客户、使用者、研究人员、白帽黑客──提供通报的管道,你就拥有了能及时修正问题的情报系统。”xW8ednc

即将订定的标准将带来强制规范

美国国土安全部(U.S. Department of Homeland Security)已经提出保护物联网设备安全的建议,美国国家标准暨技术研究院(NIST)也公布了一份“给物联网设备制造商的建议”;IoTSF则为物联网设备开发者们提供“安全设计最佳实例指南”。xW8ednc

包括欧洲电信标准协会(European Telecommunications Standards Institute,ESTI)等,则提案订定国际性的物联网安全标准;还有英国最近宣布将订定物联网安全法,将安全漏洞通报列为强制性规范。澳洲政府也有相关的行为准则提案。xW8ednc

“虽然那些标准提案不尽相同,基本上都在描述相同的事情;”Moor表示,目前实际可用的安全漏洞处理程序标准是ISO/IEC 30111,2014与2015年的版本已经免费公开,但2019年版则受版权保护:“这会带来虽然低但是值得注意的一个门坎。”xW8ednc

ETSI订定的标准预计今年夏天出炉,是以英国的消费性物联网安全性准则(UK Code of Practice for Consumer IoT Security)以及该准则的最低要求为基础,包括变更默认密码、设置安全漏洞通报措施,以及持续进行软件安全性更新等。xW8ednc

xW8ednc

根据全球性调查,拥有符合即将出炉标准或法规之安全漏洞通报措施的欧洲业者比例,低于北美与亚洲的业者。(图片来源:IoT Security Foundation)xW8ednc

ETSI标准与英国法规的整体目标,是为物联网设备的网络安全性建立基线;相关标准的研究人员从消费性等级设备起步,是因为这些产品的成本最低,安全性要求也没有像医疗、汽车、国营事业基础设施等应用那么高。xW8ednc

“如果连网设备制造商没有安全漏洞通报措施,它们根本不应该做连网设备生意;”Moor措词强硬地表示:“这对产业的成功以及终端使用者的安全至关重要,而且他们迟早得要有,因为强制性法规马上就要出现了。”xW8ednc

(原文发表于ASPENCORE旗下EDN姐妹媒体EETimes,参考链接:IoT Device Vendors: Why Resist Vulnerability Reporting?,编译:Judith Cheng)xW8ednc

  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
  • 满足 21世纪电气化需求,实现净零排放的未来 随着新兴市场和前沿的经济体步入工业化阶段,这种以化石燃料为主的集中式电力和运输网络是不可持续的,需要未来下一代的能源网络...
  • 10A电子保险丝可为48V电源提供紧凑型过流保护 传统上,过流保护使用的是保险丝。但是,保险丝体积庞大,响应速度慢,跳闸电流公差大,需要在一次或几次跳闸后更换。本文介绍一种外形紧凑、纤薄、响应速度快的10 A电子保险丝,它没有上述这些无源保险丝缺点。电子保险丝可在高达48 V的DC电源轨上提供过流保护。
  • 复旦大学认证?剖析从疫情中诞生的“无人配送汽车”的历 复旦大学引入了美团的自动送餐配送车,为全校师生提供三餐无接触的配送服务,已经不是美团第一次助力疫情了,这项技术已经落地近2年而且不断地发展壮大,与各社会企业进行融合..
  • 四个必须避免的汽车功能安全错误 在汽车生态系统中,一个利益相关者的疏忽也会影响到其他利益相关者。如果一级供应商没有大面积进行危害分析,那么未识别的危害以及相关的风险可能会充斥着整个架构设计。同样,在从事安全关键型项目时使用未受过ISO 26262标准培训的资源也有其自身的风险。本篇,我们整理了一组必须要不惜一切代价来避免的此类功能安全(FuSa)管理错误。
  • 汽车激光雷达及其工作原理是什么? 汽车系统利用激光雷达来控制车速和制动系统,从而响应交通状况的突变。激光雷达在碰撞警告和避让系统、车道保持辅助、车道偏离警告、盲点监视器和自适应巡航控制等半自动或全自动汽车辅助功能中起到重要作用。汽车激光雷达正在取代早期汽车自动化系统中的雷达系统。
  • 使用C2000实时MCU实现功能安全和网络安全的电动汽车动 本技术文章系与Prometo功能安全和网络安全高级顾问Jürgen Belz共同编写。
  • 电动车的电路保护、功率控制如何设计才更安全? 在对抗污染和减缓气候变化方面,两轮和三轮电动车(EV)的发展与四轮和更大EV的发展一样重要。与汽车和卡车相比,大量采用燃烧技术的两轮和三轮车辆对于燃烧控制较少,并且产生大量污染。两轮和三轮EV的设计人员面临着与四轮和更高等级EV设计人员相同的困难挑战,包括最大化两次充电之间的里程数、车辆高可靠性和车辆安全性。
  • 支持FIDO应用的SECORA ID为线上身份验证提供更灵活、 英飞凌展出了支持FIDO应用、以便于使用的令牌形式对门户网站的访问进行安全身份验证的SECORA ID解决方案。
  • Enea Qosmos增强加密网络的可见性和对网络攻击的保护 Enea今天宣布对Qosmos DPI进行增强,提高在加密网络环境中实现更顺畅的网络操作和更有效的网络安全。
  • 面向制造和工业环境监控应用的人工智能机器视觉 在传统的工业和制造环境中,监控工人安全、提高操作人员效率以及改进质量检测都是体力工作。如今,基于人工智能的机器视觉技术取代了许多低效的、劳动密集型的操作,并提高了可靠性、安全性和效率。本文将探讨如何通过部署人工智能相机,进一步提高性能,因为用于赋能人工智能机器视觉的数据就来自相机本身。
  • 网络安全与网络保护恢复 有人问到网络安全(Cyber Security)和网络保护恢复(Cyber Resiliency)之间的区别。这个问题经常有人问起,因此我认为有必要通过一篇文章来解释两者之间差异。
  • 设计可靠的两轮和三轮电动车以改善空气质量和减少对环 电路保护、功率控制和温度管理电路的可靠设计是长期耐用性和安全性的关键。
广告
热门推荐
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了