在本周二發布的“保障物聯網安全的戰略原則,版本1.0”中,美國國土安全部(DHS)表示,物聯網制造商必須在產品設計階段構建安全,否則可能會被起訴。
該戰略原則指出,未在最初設計階段構建安全并采取基本安全措施“可能會造成制造商的經濟成本、聲譽成本或產品召回成本損失。雖然還沒有建立解決物聯網問題的判例法體系,但傳統的產品責任侵權原則可以適用。”
10月21日,美國域名服務器管理服務供應商Dyn宣布,該公司在當地時間周五早上被Mirai僵尸網絡(由被攻擊的物聯網設備組成,包括DVR和網絡攝像頭)發起大規模DDoS攻擊,導致了Twitter、亞馬遜、華爾街日報等數百個重要網站無法訪問,美國主要公共服務、社交平臺、民眾網絡服務癱瘓,為此,DHS制定了該戰略原則。許多物聯網設備很容易被攻擊,因為這些設備硬編了默認密碼,未采用基本驗證程序,并且根本無法實現遠程升級。
DHS部長杰伊·約翰遜(Jeh Johnson)表示,“保障物聯網安全已演變為國土安全問題”。
周二,由網絡安全政策與法律聯盟(Coalition for Cybersecurity Policy and Law)舉辦的下一任總統網絡安全研討會上,DHS網絡政策助理部長羅伯特·西爾維斯(Robert Silvers)提出,前端安全也許會妨礙Mirai僵尸網絡,例如,使默認密碼個性化、更長、更難破解。
西爾維斯表示,“需要在設計階段構建安全。安全不應該是馬后炮。例如,我們需要內置、難以破解的密碼,可靠的操作系統升級,并促進安全更新和漏洞管理”。
以下為筆者簡單概括部分物聯網安全高級原則:
· 在設計階段結合安全:“經濟驅動力使得企業將設備推入市場時很少考慮安全。這給惡意攻擊者創造大量機會操控聯網設備的信息流”。
· 啟用安全更新和漏洞管理:即使安全從一開就內置存在,但在產品部署后發現產品漏洞很常見。這些漏洞能通過補丁、安全更新和漏洞管理策略緩解。
· 建立在可靠的安全最佳實踐之上:傳統網絡安全中許多經過驗證的實踐可以作為提升物聯網安全的出發點。
· 根據影響優先考慮安全措施:數據泄露的風險和后果大不相同,這取決于聯網設備。因此,專注破壞、泄露或惡意活動的潛在后果對決定物聯網生態系統的安全方向尤為重要。
· 提升透明度:在可能的情況下,開發人員和制造商需要了解供應鏈,因此他們能識別軟件和硬件組件,并了解任何相關漏洞。增強意識能幫助制造商和工業消費者識別安全措施應用的位置和具體方法。
· 連接需仔細謹慎:考慮物聯網的使用和物聯網被破壞的相關風險,物聯網消費者,尤其工業企業應該仔細并謹慎考慮是否需持續連網。
西爾維斯表示,“今天邁出了第一步”。他承認,聯邦機構、行業組織等在不懈努力。戰略原則指出,物聯網存在的許多漏洞能通過公認的安全最佳實踐得到緩解,但如今太多產品未融入最基本的安全措施。
在此戰略原則中,DHS定義了聯邦機構需要執行的四項物聯網安全事項:
· 協調其它聯邦部門和機構與物聯網制造商、網絡連接提供商和其它行業利益相關者合作。隨著進一步細化和理解最佳實踐和方法,未來的努力方向還將集中在更新和應用這些原則上。
· 在所有利益相關者中構建與物聯網有關的風險意識。DHS將與其它機構、私有部門和國際合作伙伴合作增強公眾意識、教育和培訓計劃。
· 識別并推進激勵措施,保障物聯網設備和網絡安全。現在,常常搞不清楚誰是給定產品或系統的安全負責人。此外,安全性差所帶來的成本通常不由增強安全的人承擔。要考慮的因素是侵權責任、網絡保險、立法、監管、自愿認證管理、標準設定舉措、自愿行業級計劃…今后,DHS將召集合作伙伴討論這些重大事項、并收集意見和反饋。
· 為物聯網國際標準發展進程做貢獻。美國的物聯網設備是全球生態系統的一部分,更不用說國家組織正在全力應對同樣的安全問題,開始評估眾多同樣的安全考慮。我們必須與國際合作伙伴和私營部門合作,支持國家標準的發展。該原則指出,重要的是,不將物聯網的相關活動分裂為不一致的標準或規則集。
戰略原則總結到,“美國無法承擔不安全物聯網設備帶來的影響。考慮到對關鍵基礎設施、個人隱私和經濟的潛在損害,后果不堪重負”。
京公網安備 11010502049343號