广告

IoT设备供应商:为什么拒绝报告安全漏洞?

2020-05-27 10:12:03 Ann R. Thryft 阅读:
消费类IoT设备中的很多漏洞都不是由设备制造商发现的,而是由外部网络安全研究人员和白帽黑客发现的。这也是为什么人们普遍认为报告安全漏洞是IoT设备安全性的基本要求。那么,制造商是否应该尽一切可能得到这些报告,以便迅速找出并修复漏洞?

物联网(IoT)设备不断遭到黑客攻击,数据被盗取,操作被拦截。IM3ednc

谷歌和三星的Android摄像头应用以及Ring的安防摄像头都曾被黑客“劫持”,用来监视用户。IM3ednc

Omdia(原IHS Markit – Technology)的调查数据显示,今年全球IoT设备的安装数将达到接近350亿台。Omdia的企业研究副总裁Bill Morelli表示,这意味着黑客有350亿次机会进行安全攻击。他指出:“网络安全已成为全球各组织最关注的问题,预计全球网络安全支出将从2019年的600亿美元增加到2023年的1570亿美元。”IM3ednc

消费类IoT设备的每个漏洞都可能给数百万用户的安全或隐私带来威胁。联网消费类产品中的很多漏洞都不是由设备制造商发现的,而是由外部网络安全研究人员和白帽黑客发现的。IM3ednc

这也是为什么人们普遍认为报告安全漏洞是IoT设备安全性的基本要求。那么,制造商不是应该尽一切可能得到这些报告,以便迅速找出并修复漏洞吗?IM3ednc

事实显然并非如此。IM3ednc

安全漏洞报告开始兴起

物联网安全基金会(IoT Security Foundation,IoTSF)的最新报告显示,在接受调查的消费类IoT设备制造商中,超过86%没有制定漏洞报告政策。不过,强制性法规很快就会出台,国际标准也在制定当中。IM3ednc

这是该基金会针对这一主题第二次发布年报,调查了全球共330家消费类IoT设备制造商,产品从相机到洗衣机都有,其中最大的两个产品类别是智能家居照明和智能家居安防。报告指出,“智能家居安防”部分的调查结果颇具讽刺意味,因为在37家厂商中,只有3家(仅占该类别的8.1%)拥有明确的安全漏洞报告政策。”IM3ednc

整体来看,拥有安全漏洞报告政策的公司所占百分比从9.7%增加到了13.3%,其中主要是拥有著名消费者品牌的大公司,例如亚马逊、苹果、FitBit、戴森、Garmin、谷歌、惠普、HTC、华为、联想、LG、摩托罗拉、三星、西门子、Signify和索尼。IM3ednc

IM3ednc

图1:IoTSF的执行董事John Moor表示,如果IoT产品的制造商没有安全漏洞报告政策,就不应涉足IoT业务。IM3ednc

IoTSF的执行董事John Moor说:“我还没仔细研究比例这么低的原因,但我认为,首先是因为许多公司都是新进入联网嵌入式设备领域,初来乍到,缺乏认知;第二个重要原因是这个问题没有责任归属,因为没有相关法规,所以有些公司不想自找麻烦。”但是,这其实并没有什么成本,最简单的安全漏洞报告系统只需要建立一个“/security”网页。IM3ednc

业者缺乏认知是最大的问题。Moor表示,由于连接到互联网的嵌入式产品数量激增,对电子产品设计和现场支持的要求也发生了深刻的变化。传统的嵌入式系统是不联网的,在连接到互联网并增加软件功能之后,这些系统及所连设备的攻击面都会大大增加。IM3ednc

迄今为止,安全漏洞报告程序都不是电子工程师或他们的主管非常在意的事情,但对于已经连接到物联网的产品(IoT设备),这是最基本的安全要求。IM3ednc

就算是IoTSF调查中那44家拥有安全漏洞报告的制造商,其政策的类别和复杂度也可能千差万别。超过三分之一的公司并没有设定报告安全漏洞的时间线,而时间线被认为是最好的方法。只有4家公司承诺在90天内解决所报告的安全问题。在这44家公司中,只有不到一半采用了安全漏洞报告奖励制度。给予金钱上的奖励,能让白帽黑客们更愿意将发现的安全漏洞报告给公司,而不是在黑市中进行交易。IM3ednc

IM3ednc

图2:一项针对全球消费类IoT产品制造商的调查显示,2019年拥有安全漏洞报告政策的公司比2018年略有增加。(图片来源:IoT Security Foundation)IM3ednc

“安全漏洞报告至关重要,”Moor强调,“如果你可以向任何人——包括客户、用户、研究人员和白帽黑客——提供一条报告漏洞的通道,你就能及时了解问题,然后解决问题。”IM3ednc

强制性法规即将出台

美国国土安全部(DHS)已经提出了保护IoT设备安全的建议,美国国家标准与技术研究所(NIST)发布了“Recommendations for IoT Device Manufacturers(给IoT设备制造商的建议书)”,IoTSF也为开发人员提供了“Secure Design Best Practice Guides(安全设计最佳实践指南)”。IM3ednc

欧洲电信标准协会(ETSI)提出了管理IoT设备的最新国际标准,英国最近也宣布将制定物联网安全法,它们都将强制要求披露安全漏洞。澳大利亚也有相关的法规提案。IM3ednc

“尽管标准提案并非用同一种语言,但说的都是同一件事。”Moor表示,目前安全漏洞处理程序的首选标准是ISO/IEC30111,其2014年和2015年版本是免费的,2019年版本则受版权保护,“这会带来虽然低但是很明显的门槛。”他说。IM3ednc

ETSI的新标准有望在今年夏天发布。它是根据英国消费类IoT设备安全法的最低要求制定的,内容包括:更改默认密码、执行安全漏洞披露政策,以及持续进行软件安全性更新。IM3ednc

IM3ednc

图3:根据全球范围的调查数据,相较北美和亚洲,欧洲执行最新安全标准和法规的公司(总部位于欧洲)数量最少。(图片来源:IoT Security Foundation)IM3ednc

ETSI标准和英国法规的总体目标是为IoT设备的网络安全建立基准线。研究人员从消费类设备开始,因为这些产品成本最低,安全性要求也不像医疗、汽车或国家基础设施等应用那么高。IM3ednc

“如果联网产品制造商没有安全漏洞报告政策,他们就不应涉足IoT业务。”Moor措词强硬,“这对行业的成功和最终用户的安全至关重要。而且,这是他们迟早要做的事,因为强制性法规即将出台。”IM3ednc

(原文刊登于ASPENCORE旗下EETimes英文网站,参考链接:IoT Device Vendors: Why Resist Vulnerability Reporting?。)IM3ednc

本文为《电子技术设计》2020年06月刊杂志文章,版权所有,禁止转载。免费杂志订阅申请点击这里IM3ednc

本文为电子技术设计原创文章,未经授权禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
Ann R. Thryft
EETimes工业控制技术编辑。Ann Thryft曾为EDN、RTC杂志、COTS Journal、NIkkei Electronics Asia、EE Times、Computer Design和 Electronic Buyers' News等媒体撰稿。 她曾向读者介绍了几种新兴趋势,包括:早期手机架构,机顶盒系统设计,开放式网络服务器和交换机/路由器架构,软件定义无线电和RFID。 在EBN,Ann获得了两项独立评选的最佳技术专题奖。 目前,她是《测试与测量世界》的特约技术编辑,并协助研究和编写In-Stat报告。 她拥有斯坦福大学文化人类学学士学位和商业营销协会(前身为B/PAA)的认证商业通讯员证书。
  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
  • 理想ONE高速起火烧成光架,其1.2T三缸增程器曾被指隐藏 近期,网络平台上发布了一段理想ONE在行驶过程中,车辆出现起火的视频内容。现场拍摄的灭火后图片显示,该轿车过火后仅剩骨架,车辆前部增程器位置受损严重,车辆尾门已经在过火后从车身主体脱落。此前,曾有国内汽车媒体对一台行驶了10万公里的理想ONE的东安1.2T三缸增程发动机进行拆解,被指隐藏暗病。
  • 林志颖驾特斯拉出车祸:特斯拉回应起火原因不明,网友质疑 据EDN电子技术设计了解,7月22日上午10时50分左右,林志颖驾驶特斯拉Model X,在路口处掉头后加速向前行驶,但在前方道路分叉口处,因不明原因突然偏离车道自撞指示杆,整辆车陷入火海。此事引起网友关注热议,特斯拉客服表示,暂不清楚起火原因,但车身没有特别容易起火的材质。但有台媒指出,林志颖最爱特斯拉的自动驾驶功能,这也引起了网友对事故是否与自动驾驶有关的猜测。
  • 美国国土安全部(DHS)被曝大量购买和使用手机定位数据 据EDN电子技术设计了解,美国公民自由联盟18日发表最新文件,称美国国土安全部(DHS)使用移动定位数据来追踪人们的行动,据悉美国公民自由联盟发表的记录多达数千页,其规模远远超过之前的认知。
  • 为打击以色列间谍软件,Apple宣布免费推出iPhone新锁定 为打击如Pegasus等有针对性的间谍软件及黑客程序,苹果计划在今年晚些时候为其 iPhone、iPad 和 Mac 电脑提供新的“锁定模式”,并公开承诺继续改进它。该公司还扩大了漏洞赏金和赠款计划,以鼓励对该问题的进一步研究。
  • 纯视觉自动驾驶更安全?美国交通部发布数据打脸特斯拉 特斯拉的纯视觉自动驾驶到底效果如何?真的如马斯克所说的:“通过摄像头和计算机网络让自动驾驶比人类驾驶更安全”吗?近日美国国家公路交通安全管理局发布了一份新的数据,颇有打脸特斯拉的意味。
  • MIT曝光Apple M1 芯片新硬件漏洞:可被无痕攻破 尽管苹果最近发布的 M1 芯片号称Apple 迄今为止功能最强大的芯片,并具有行业领先的能效,但最近,麻省理工学院计算机科学和人工智能实验室(CSAIL)的科学家发布了一项研究称,他们发现了一种可以绕过 Apple M1 CPU 上的指针验证机制的新型硬件攻击……
  • 黑客用办公用纸、喷墨打印机等工具DIY“窃听器” 狡猾的黑客可以使用办公用纸、喷墨打印机、金属箔转印机和层压机在短短五分钟内制造出窃听某些 6G 无线信号的工具。
  • 锐成芯微发布全新车规级嵌入式存储IP品牌商标SuperMTP 5月5日,成都锐成芯微科技股份有限公司(以下简称:锐成芯微)发布旗下全新品牌商标——SuperMTP®,该新商标用于统一已推出的MTP IP产品线中面向汽车电子应用的车规级嵌入式多次可编程存储IP系列产品。
  • 满足 21世纪电气化需求,实现净零排放的未来 随着新兴市场和前沿的经济体步入工业化阶段,这种以化石燃料为主的集中式电力和运输网络是不可持续的,需要未来下一代的能源网络...
  • 10A电子保险丝可为48V电源提供紧凑型过流保护 传统上,过流保护使用的是保险丝。但是,保险丝体积庞大,响应速度慢,跳闸电流公差大,需要在一次或几次跳闸后更换。本文介绍一种外形紧凑、纤薄、响应速度快的10 A电子保险丝,它没有上述这些无源保险丝缺点。电子保险丝可在高达48 V的DC电源轨上提供过流保护。
  • 复旦大学认证?剖析从疫情中诞生的“无人配送汽车”的历 复旦大学引入了美团的自动送餐配送车,为全校师生提供三餐无接触的配送服务,已经不是美团第一次助力疫情了,这项技术已经落地近2年而且不断地发展壮大,与各社会企业进行融合..
  • 苹果被曝向黑客提供私人用户信息 受黑客伪造的法律文件欺骗,苹果和 Facebook 的母公司 Meta 去年可能已经交出了私人客户信息,包括地址、电话号码和 IP 地址。
广告
热门推荐
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了