由英国主导成立的物联网安全基金会(IoTSF)于今年10月宣布,推出了针对消费者物联网的漏洞披露平台VulnerableThings。该平台为物联网供应商制定相关安全法规做好了准备,并为安全研究人员提供了一种报告漏洞的简便方法。
很多组织使用了可用的漏洞披露报告流程和资源,例如Mitre常见漏洞和披露程序或NIST国家漏洞数据库。物联网安全基金会旨在简化研究人员和供应商必须克服的困难。该平台为物联网制造商提供策略模板,并提示其解决消费者物联网的漏洞并符合行业标准。安全研究人员可以提交漏洞,并跟踪制造商解决漏洞的进度。
调研机构Forrester Research公司副总裁兼研究主管Merritt Maxim说,“组织需要在任何时候公开披露漏洞,最终会创建一个越来越强大的安全模型。这个平台需要一定的时间才能被接受和使用,而这些披露也需要时间才能得到报告。这不是一蹴而就的解决方案,但却是朝着正确方向迈出的一步。”
漏洞管理是公认的基本安全实践。物联网行业成员(其中包括董事会成员、供应链经理和产品安全人员)都必须了解协调一致的漏洞披露方法以保护其产品。
物联网安全基金会常务董事John Moor在一封电子邮件中写道,“无论组织是否选择VulnerableThings获得帮助,需要确保其有报告漏洞的渠道以及解决问题的适当流程。这对于保护组织的业务、客户和更广泛的物联网生态系统免受攻击是必要的。”
为什么物联网漏洞平台对组织很重要
VulnerableThings平台专注于披露消费者物联网的漏洞,但物联网整体趋势使物联网产品安全成为组织日益关注的问题。
Moor说,“物联网安全基金会最初以消费物联网部门为目标,因为这是需要进行监管的地方,VulnerableThings平台致力于解决所有物联网领域的实际问题。”
当组织采用物联网设备时,信息技术(IT)和运营技术(OT)团队在冠状病毒疫情期间,并将在家远程工作员工的家庭网络与智能设备融合在一起。
451 Research公司高级研究分析师Johan Vermij说,“由于今年发生的疫情,很多员工开始在家远程工作。在突然之间,他们需要在家采用和管理这些设施,必须考虑一种新的安全方法将信息技术(IT)和运营技术(OT)进行融合。”
智能家庭消费设备将这些技术引入企业网络,而不仅仅是传统的BYOD策略。许多员工可能在家工作的网络中连接亚马逊Alexa、谷歌助手和智能门铃或安全设备。Vermij说,在家远程工作带来了一个问题,即组织是否必须使用消费者物联网管理个人安全网络,以及它如何影响员工隐私。
Maxim表示,很多组织已经开始考虑可能需要什么样的策略来管理家庭设备,列出某些不太安全的品牌,并禁止其员工在家庭网络上使用。虽然这将很难实施,但是IT管理员可能会使用这些信息来指导有关智能设备使用的策略。
Vermij指出,有了针对消费者物联网的公共漏洞报告平台,制造商可能会加快其安全开发,并将其推广到企业产品中。
制造商并不总是优先考虑物联网产品的安全性,因为这是额外的成本。他们可能会提供安全功能作为产品的附加功能,但是消费者和企业必须支付额外的费用。如果安全成为制造过程中更重要的优先事项,那么物联网将从中受益。
意识仍然是一个安全问题
尽管存在一些网络威胁和保护设备安全的最佳实施,但分析师仍将安全意识视为物联网安全的主要风险。
Vermij指出,451 Research公司在今年8月进行的调查发现,26%的受访者表示,安全隐患是部署物联网项目的最大障碍。
许多组织都在努力保护他们的各种物联网设备的安全,而且随着规模的扩大,这些设备变得更加难以管理。
Vermij说:“组织们确实需要采用管理风险的工具,但是组织不知道其风险是什么,尤其是那些拥有传统设备的组织。”
他表示,设备操作人员可能不知道这些传统设备在连接网络之后会做些什么。组织还要获得IT安全专家的帮助。
Vermij补充说,安全性最重要的问题之一是用户行为。对于工厂车间的工作人员来说,安全通常是一件麻烦的事,他们会妨碍他们高效地完成工作。如果工作人员不关心安全问题并将其视为雇主应该关心的问题,则组织将难以实施安全策略。
Vermij说:“如果组织可以将安全意识融入到员工的生活中,并让他们考虑所购买物品的安全性,那么它也可以增强他们对办公室安全性的看法。”
Maxim表示,无论是消费者还是企业,安全和隐私通常是物联网设备部署的最主要关注点。
采用物联网漏洞披露平台将会继续突出安全问题,并且随着物联网设备的增长,很多物联网设备制造商开始优先考虑安全措施,并增强用户的安全意识。
版权声明:本文为企业网D1Net编译,转载需注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。
京公网安备 11010502049343号