由英國主導成立的物聯網安全基金會(IoTSF)于今年10月宣布,推出了針對消費者物聯網的漏洞披露平臺VulnerableThings。該平臺為物聯網供應商制定相關安全法規做好了準備,并為安全研究人員提供了一種報告漏洞的簡便方法。
很多組織使用了可用的漏洞披露報告流程和資源,例如Mitre常見漏洞和披露程序或NIST國家漏洞數據庫。物聯網安全基金會旨在簡化研究人員和供應商必須克服的困難。該平臺為物聯網制造商提供策略模板,并提示其解決消費者物聯網的漏洞并符合行業標準。安全研究人員可以提交漏洞,并跟蹤制造商解決漏洞的進度。
調研機構Forrester Research公司副總裁兼研究主管Merritt Maxim說,“組織需要在任何時候公開披露漏洞,最終會創建一個越來越強大的安全模型。這個平臺需要一定的時間才能被接受和使用,而這些披露也需要時間才能得到報告。這不是一蹴而就的解決方案,但卻是朝著正確方向邁出的一步。”
漏洞管理是公認的基本安全實踐。物聯網行業成員(其中包括董事會成員、供應鏈經理和產品安全人員)都必須了解協調一致的漏洞披露方法以保護其產品。
物聯網安全基金會常務董事John Moor在一封電子郵件中寫道,“無論組織是否選擇VulnerableThings獲得幫助,需要確保其有報告漏洞的渠道以及解決問題的適當流程。這對于保護組織的業務、客戶和更廣泛的物聯網生態系統免受攻擊是必要的。”
為什么物聯網漏洞平臺對組織很重要
VulnerableThings平臺專注于披露消費者物聯網的漏洞,但物聯網整體趨勢使物聯網產品安全成為組織日益關注的問題。
Moor說,“物聯網安全基金會最初以消費物聯網部門為目標,因為這是需要進行監管的地方,VulnerableThings平臺致力于解決所有物聯網領域的實際問題。”
當組織采用物聯網設備時,信息技術(IT)和運營技術(OT)團隊在冠狀病毒疫情期間,并將在家遠程工作員工的家庭網絡與智能設備融合在一起。
451 Research公司高級研究分析師Johan Vermij說,“由于今年發生的疫情,很多員工開始在家遠程工作。在突然之間,他們需要在家采用和管理這些設施,必須考慮一種新的安全方法將信息技術(IT)和運營技術(OT)進行融合。”
智能家庭消費設備將這些技術引入企業網絡,而不僅僅是傳統的BYOD策略。許多員工可能在家工作的網絡中連接亞馬遜Alexa、谷歌助手和智能門鈴或安全設備。Vermij說,在家遠程工作帶來了一個問題,即組織是否必須使用消費者物聯網管理個人安全網絡,以及它如何影響員工隱私。
Maxim表示,很多組織已經開始考慮可能需要什么樣的策略來管理家庭設備,列出某些不太安全的品牌,并禁止其員工在家庭網絡上使用。雖然這將很難實施,但是IT管理員可能會使用這些信息來指導有關智能設備使用的策略。
Vermij指出,有了針對消費者物聯網的公共漏洞報告平臺,制造商可能會加快其安全開發,并將其推廣到企業產品中。
制造商并不總是優先考慮物聯網產品的安全性,因為這是額外的成本。他們可能會提供安全功能作為產品的附加功能,但是消費者和企業必須支付額外的費用。如果安全成為制造過程中更重要的優先事項,那么物聯網將從中受益。
意識仍然是一個安全問題
盡管存在一些網絡威脅和保護設備安全的最佳實施,但分析師仍將安全意識視為物聯網安全的主要風險。
Vermij指出,451 Research公司在今年8月進行的調查發現,26%的受訪者表示,安全隱患是部署物聯網項目的最大障礙。
許多組織都在努力保護他們的各種物聯網設備的安全,而且隨著規模的擴大,這些設備變得更加難以管理。
Vermij說:“組織們確實需要采用管理風險的工具,但是組織不知道其風險是什么,尤其是那些擁有傳統設備的組織。”
他表示,設備操作人員可能不知道這些傳統設備在連接網絡之后會做些什么。組織還要獲得IT安全專家的幫助。
Vermij補充說,安全性最重要的問題之一是用戶行為。對于工廠車間的工作人員來說,安全通常是一件麻煩的事,他們會妨礙他們高效地完成工作。如果工作人員不關心安全問題并將其視為雇主應該關心的問題,則組織將難以實施安全策略。
Vermij說:“如果組織可以將安全意識融入到員工的生活中,并讓他們考慮所購買物品的安全性,那么它也可以增強他們對辦公室安全性的看法。”
Maxim表示,無論是消費者還是企業,安全和隱私通常是物聯網設備部署的最主要關注點。
采用物聯網漏洞披露平臺將會繼續突出安全問題,并且隨著物聯網設備的增長,很多物聯網設備制造商開始優先考慮安全措施,并增強用戶的安全意識。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號