五分之四的物联网(IoT)设备制造商未能通过基本的网络安全实践,因为它们没有为人们提供披露其产品安全漏洞的途径——这可能会让设备用户面临网络攻击和隐私泄露的风险。
物联网安全基金会 (IoTSF) 是一个旨在帮助鼓励保护物联网安全的科技行业组织,其研究分析了数百家受欢迎的物联网产品制造商,发现只有五分之一多的广告在公共渠道上报告安全漏洞 以便修复它们。
自去年以来,提供这种渠道的供应商的 21% 略有上升,物联网安全基金会的报告将其描述为提供其所描述的“基本卫生机制”方面的“冰川”进展。
尽管包括英国、美国、新加坡、印度和澳大利亚在内的世界各国以及欧盟都试图强调物联网设备网络安全的重要性以及能够披露漏洞的能力。
报告指出,缺乏漏洞披露政策的部分原因可能是首次进入物联网市场的“非传统IT企业”,比如时尚提供商推出联网产品,或者厨房电器制造商在其产品中添加智能功能。
在这些情况下,制造商很可能是第一次不得不考虑将网络安全构建到产品中,因此漏洞不仅可以找到进入设备的途径,而且没有固定的报告途径。
不过,该报告指出,“自2017年以来,任何有互联网连接的人都可以免费获得与物联网相关的最佳实践”,五分之四的公司未能提供一种机制来报告安全漏洞,以便修复这些漏洞,这种方式“低得令人无法接受”–这可能指向更广泛的问题。
“这通常只是冰山一角——这是一种不安全的金丝雀,让你意识到这些公司可能也很少关注安全性,”研究背后的公司 Copper Horse 的首席执行官大卫罗杰斯告诉 ZDNet。
在对待安全研究人员的态度方面,一些公司仍处于黑暗时代。他们的反应将是让律师介入研究人员或试图迫使他们加入保密协议。这真是愚蠢的行为,因为我们从2014年就有了ISO标准,这被认为是很好的做法,而且时间更长了。当立法出台时,其中一些公司将受到巨大冲击。”
物联网设备越来越成为家庭和办公室的固定装置。 虽然许多家庭品牌确实确保他们的产品配备了良好的安全措施——报告引用了包括索尼、松下、三星、LG、谷歌、微软、戴尔、联想、亚马逊、罗技和苹果在内的科技公司——但消费者通常会 购买不太注重安全性的更便宜的替代品。
这意味着如果发现安全漏洞并且无法通知制造商,则可能会使用户处于危险之中。对于似乎已经关闭的公司来说尤其如此——报告指出,有些公司已经这样做了——这意味着即使有办法报告漏洞,也不太可能得到修复。
但是,尽管研究论文经常呈现当今物联网安全形势的严峻形势,但物联网安全基金会认为,最终,这种情况会发生变化,并将成为产品设计的基本组成部分。
“安全有点像质量。要正确交付,它需要在公司内的所有流程中普遍存在,这样才能确保始终如一——也就是说,不是事后的想法或附加的,”John Moor,经理董事物联网安全基金会告诉 ZDNet。
“我相信,在过去 30 年中,随着我们将社会和经济转变为更加数字化,安全将遵循与质量相似的路径——如果我们对其基本重要性建立一个普遍的理解并正确处理流程,我们会自然而然地做到这一点——而不是作为附加组件,”他补充道。
转载请注明:IT运维空间 » 安全防护 » 物联网规模越来越大,但安全性仍然落后
发表评论