由英國(guó)主導(dǎo)成立的物聯(lián)網(wǎng)安全基金會(huì)(IoTSF)于今年10月宣布,推出了針對(duì)消費(fèi)者物聯(lián)網(wǎng)的漏洞披露平臺(tái)VulnerableThings。該平臺(tái)為物聯(lián)網(wǎng)供應(yīng)商制定相關(guān)安全法規(guī)做好了準(zhǔn)備,并為安全研究人員提供了一種報(bào)告漏洞的簡(jiǎn)便方法。
很多組織使用了可用的漏洞披露報(bào)告流程和資源,例如Mitre常見(jiàn)漏洞和披露程序或NIST國(guó)家漏洞數(shù)據(jù)庫(kù)。物聯(lián)網(wǎng)安全基金會(huì)旨在簡(jiǎn)化研究人員和供應(yīng)商必須克服的困難。該平臺(tái)為物聯(lián)網(wǎng)制造商提供策略模板,并提示其解決消費(fèi)者物聯(lián)網(wǎng)的漏洞并符合行業(yè)標(biāo)準(zhǔn)。安全研究人員可以提交漏洞,并跟蹤制造商解決漏洞的進(jìn)度。
調(diào)研機(jī)構(gòu)Forrester Research公司副總裁兼研究主管Merritt Maxim說(shuō),“組織需要在任何時(shí)候公開(kāi)披露漏洞,最終會(huì)創(chuàng)建一個(gè)越來(lái)越強(qiáng)大的安全模型。這個(gè)平臺(tái)需要一定的時(shí)間才能被接受和使用,而這些披露也需要時(shí)間才能得到報(bào)告。這不是一蹴而就的解決方案,但卻是朝著正確方向邁出的一步。”
漏洞管理是公認(rèn)的基本安全實(shí)踐。物聯(lián)網(wǎng)行業(yè)成員(其中包括董事會(huì)成員、供應(yīng)鏈經(jīng)理和產(chǎn)品安全人員)都必須了解協(xié)調(diào)一致的漏洞披露方法以保護(hù)其產(chǎn)品。
物聯(lián)網(wǎng)安全基金會(huì)常務(wù)董事John Moor在一封電子郵件中寫(xiě)道,“無(wú)論組織是否選擇VulnerableThings獲得幫助,需要確保其有報(bào)告漏洞的渠道以及解決問(wèn)題的適當(dāng)流程。這對(duì)于保護(hù)組織的業(yè)務(wù)、客戶(hù)和更廣泛的物聯(lián)網(wǎng)生態(tài)系統(tǒng)免受攻擊是必要的。”
為什么物聯(lián)網(wǎng)漏洞平臺(tái)對(duì)組織很重要
VulnerableThings平臺(tái)專(zhuān)注于披露消費(fèi)者物聯(lián)網(wǎng)的漏洞,但物聯(lián)網(wǎng)整體趨勢(shì)使物聯(lián)網(wǎng)產(chǎn)品安全成為組織日益關(guān)注的問(wèn)題。
Moor說(shuō),“物聯(lián)網(wǎng)安全基金會(huì)最初以消費(fèi)物聯(lián)網(wǎng)部門(mén)為目標(biāo),因?yàn)檫@是需要進(jìn)行監(jiān)管的地方,VulnerableThings平臺(tái)致力于解決所有物聯(lián)網(wǎng)領(lǐng)域的實(shí)際問(wèn)題。”
當(dāng)組織采用物聯(lián)網(wǎng)設(shè)備時(shí),信息技術(shù)(IT)和運(yùn)營(yíng)技術(shù)(OT)團(tuán)隊(duì)在冠狀病毒疫情期間,并將在家遠(yuǎn)程工作員工的家庭網(wǎng)絡(luò)與智能設(shè)備融合在一起。
451 Research公司高級(jí)研究分析師Johan Vermij說(shuō),“由于今年發(fā)生的疫情,很多員工開(kāi)始在家遠(yuǎn)程工作。在突然之間,他們需要在家采用和管理這些設(shè)施,必須考慮一種新的安全方法將信息技術(shù)(IT)和運(yùn)營(yíng)技術(shù)(OT)進(jìn)行融合。”
智能家庭消費(fèi)設(shè)備將這些技術(shù)引入企業(yè)網(wǎng)絡(luò),而不僅僅是傳統(tǒng)的BYOD策略。許多員工可能在家工作的網(wǎng)絡(luò)中連接亞馬遜Alexa、谷歌助手和智能門(mén)鈴或安全設(shè)備。Vermij說(shuō),在家遠(yuǎn)程工作帶來(lái)了一個(gè)問(wèn)題,即組織是否必須使用消費(fèi)者物聯(lián)網(wǎng)管理個(gè)人安全網(wǎng)絡(luò),以及它如何影響員工隱私。
Maxim表示,很多組織已經(jīng)開(kāi)始考慮可能需要什么樣的策略來(lái)管理家庭設(shè)備,列出某些不太安全的品牌,并禁止其員工在家庭網(wǎng)絡(luò)上使用。雖然這將很難實(shí)施,但是IT管理員可能會(huì)使用這些信息來(lái)指導(dǎo)有關(guān)智能設(shè)備使用的策略。
Vermij指出,有了針對(duì)消費(fèi)者物聯(lián)網(wǎng)的公共漏洞報(bào)告平臺(tái),制造商可能會(huì)加快其安全開(kāi)發(fā),并將其推廣到企業(yè)產(chǎn)品中。
制造商并不總是優(yōu)先考慮物聯(lián)網(wǎng)產(chǎn)品的安全性,因?yàn)檫@是額外的成本。他們可能會(huì)提供安全功能作為產(chǎn)品的附加功能,但是消費(fèi)者和企業(yè)必須支付額外的費(fèi)用。如果安全成為制造過(guò)程中更重要的優(yōu)先事項(xiàng),那么物聯(lián)網(wǎng)將從中受益。
意識(shí)仍然是一個(gè)安全問(wèn)題
盡管存在一些網(wǎng)絡(luò)威脅和保護(hù)設(shè)備安全的最佳實(shí)施,但分析師仍將安全意識(shí)視為物聯(lián)網(wǎng)安全的主要風(fēng)險(xiǎn)。
Vermij指出,451 Research公司在今年8月進(jìn)行的調(diào)查發(fā)現(xiàn),26%的受訪者表示,安全隱患是部署物聯(lián)網(wǎng)項(xiàng)目的最大障礙。
許多組織都在努力保護(hù)他們的各種物聯(lián)網(wǎng)設(shè)備的安全,而且隨著規(guī)模的擴(kuò)大,這些設(shè)備變得更加難以管理。
Vermij說(shuō):“組織們確實(shí)需要采用管理風(fēng)險(xiǎn)的工具,但是組織不知道其風(fēng)險(xiǎn)是什么,尤其是那些擁有傳統(tǒng)設(shè)備的組織。”
他表示,設(shè)備操作人員可能不知道這些傳統(tǒng)設(shè)備在連接網(wǎng)絡(luò)之后會(huì)做些什么。組織還要獲得IT安全專(zhuān)家的幫助。
Vermij補(bǔ)充說(shuō),安全性最重要的問(wèn)題之一是用戶(hù)行為。對(duì)于工廠車(chē)間的工作人員來(lái)說(shuō),安全通常是一件麻煩的事,他們會(huì)妨礙他們高效地完成工作。如果工作人員不關(guān)心安全問(wèn)題并將其視為雇主應(yīng)該關(guān)心的問(wèn)題,則組織將難以實(shí)施安全策略。
Vermij說(shuō):“如果組織可以將安全意識(shí)融入到員工的生活中,并讓他們考慮所購(gòu)買(mǎi)物品的安全性,那么它也可以增強(qiáng)他們對(duì)辦公室安全性的看法。”
Maxim表示,無(wú)論是消費(fèi)者還是企業(yè),安全和隱私通常是物聯(lián)網(wǎng)設(shè)備部署的最主要關(guān)注點(diǎn)。
采用物聯(lián)網(wǎng)漏洞披露平臺(tái)將會(huì)繼續(xù)突出安全問(wèn)題,并且隨著物聯(lián)網(wǎng)設(shè)備的增長(zhǎng),很多物聯(lián)網(wǎng)設(shè)備制造商開(kāi)始優(yōu)先考慮安全措施,并增強(qiáng)用戶(hù)的安全意識(shí)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)