物聯(lián)網(wǎng)安全基金會(huì)(IoTSF)推出了一個(gè)旨在幫助物聯(lián)網(wǎng)供應(yīng)商接收、評(píng)估、管理和緩解漏洞報(bào)告的在線平臺(tái)。VulnerableThings.com網(wǎng)站旨在簡化漏洞的報(bào)告和管理，同時(shí)幫助物聯(lián)網(wǎng)供應(yīng)商遵守新的消費(fèi)者物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)和法規(guī)。

[[347517]]

作為全球首個(gè)適用于消費(fèi)者物聯(lián)網(wǎng)網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)，新的ETSI EN 303 645規(guī)范要求物聯(lián)網(wǎng)供應(yīng)商(可能包括設(shè)備制造商或進(jìn)口商/分銷商)發(fā)布清晰透明的漏洞披露政策;建立內(nèi)部漏洞管理程序;公開漏洞報(bào)告的聯(lián)系信息;持續(xù)監(jiān)控和識(shí)別產(chǎn)品中的安全漏洞。

世界各地的政府，包括英國、澳大利亞、新加坡、芬蘭以及美國加利福尼亞州和俄勒岡州，都已經(jīng)發(fā)布了行為準(zhǔn)則、產(chǎn)品標(biāo)簽制度或制定了與該標(biāo)準(zhǔn)相一致的立法。實(shí)施接受脆弱性報(bào)告的手段是這些舉措的一個(gè)共同特點(diǎn)。如果沒有報(bào)告、管理和解決漏洞的機(jī)制(如協(xié)同漏洞披露(CVD))，消費(fèi)者物聯(lián)網(wǎng)產(chǎn)品的安全性會(huì)隨著時(shí)間的推移而降低，攻擊或?yàn)E用的風(fēng)險(xiǎn)也會(huì)增加。

“漏洞管理是物聯(lián)網(wǎng)網(wǎng)絡(luò)衛(wèi)生的一個(gè)基本要素，因此，世界各國政府和監(jiān)管機(jī)構(gòu)將此作為一項(xiàng)強(qiáng)制性要求也就不足為奇了，”物聯(lián)網(wǎng)安全基金會(huì)常務(wù)董事約翰·穆爾說。

“作為物聯(lián)網(wǎng)安全方面的世界權(quán)威機(jī)構(gòu)，IoTSF發(fā)布了漏洞披露優(yōu)秀實(shí)踐和行業(yè)狀況報(bào)告。我們的結(jié)論是，行業(yè)必須采取更多措施保護(hù)客戶和自己的業(yè)務(wù)。因此，我們認(rèn)為有必要推動(dòng)這一至關(guān)重要的安全實(shí)踐，并致力于通過推出易受攻擊的東西平臺(tái)，使之盡可能簡單——尤其是對(duì)于那些缺乏經(jīng)驗(yàn)和缺乏資源的公司。該服務(wù)代理研究人員和供應(yīng)商之間的良好溝通，并指導(dǎo)雙方完成整個(gè)過程。我們正在試用這項(xiàng)服務(wù)，以測試可能的需求，并為用戶獲取反饋。”

漏洞可能會(huì)危及用戶安全和個(gè)人數(shù)據(jù)，并可能使物聯(lián)網(wǎng)供應(yīng)商違反數(shù)據(jù)保護(hù)法規(guī)。供應(yīng)商對(duì)報(bào)告的漏洞(無論是來自消費(fèi)者還是專業(yè)安全研究人員)不作出回應(yīng)，都可能導(dǎo)致不受控制地公開披露該漏洞，這將增加壞人攻擊的風(fēng)險(xiǎn)。修復(fù)漏洞可迅速降低用戶、設(shè)備、網(wǎng)絡(luò)和物聯(lián)網(wǎng)制造商的風(fēng)險(xiǎn)。

英國政府?dāng)?shù)字基礎(chǔ)設(shè)施部長馬特·沃曼評(píng)論道：“我歡迎這一新舉措，幫助工業(yè)界提高物聯(lián)網(wǎng)設(shè)備的安全性，促進(jìn)我們蓬勃發(fā)展的數(shù)字經(jīng)濟(jì)，同時(shí)保護(hù)在線用戶。我們希望每個(gè)人都有信心，他們購買的互聯(lián)網(wǎng)連接產(chǎn)品具有更強(qiáng)的安全性，并正在努力制定這一領(lǐng)域的立法，以幫助實(shí)現(xiàn)這一目標(biāo)。”

VulnerableThings.com網(wǎng)站旨在提供現(xiàn)成的、用戶友好的漏洞管理工具和其他有價(jià)值的成員資源，包括政策模板、問題解決指南和專家顧問名錄，以幫助物聯(lián)網(wǎng)制造商為新法規(guī)做好準(zhǔn)備并保持合規(guī)性。CVD必須成為成功的物聯(lián)網(wǎng)供應(yīng)商文化的重要組成部分，并且需要得到企業(yè)董事會(huì)、合規(guī)官、產(chǎn)品經(jīng)理、產(chǎn)品開發(fā)經(jīng)理、產(chǎn)品安全、供應(yīng)鏈經(jīng)理和公共關(guān)系團(tuán)隊(duì)的理解和支持。

訂閱了易受攻擊的東西的制造商可以訪問一個(gè)儀表板，該儀表板將指導(dǎo)他們完成漏洞解決過程，并促進(jìn)與報(bào)告者的溝通。如果產(chǎn)品中報(bào)告了來自未注冊服務(wù)的供應(yīng)商的漏洞，將向制造商的公共電子郵件地址發(fā)送警報(bào)，然后制造商將有機(jī)會(huì)通過訪問VulnerableThings安全地訪問漏洞報(bào)告的詳細(xì)信息。

訪問VulnerableThings.com網(wǎng)站2021年1月31日前免費(fèi)提供。訂閱這項(xiàng)服務(wù)還可以為協(xié)調(diào)的披露公告提供專業(yè)支持。

而漏洞可以由任何個(gè)人匿名報(bào)告，通過注冊VulnerableThings.com網(wǎng)站，為安全研究人員提供了一個(gè)儀表板，允許他們監(jiān)控解決他們向不同制造商報(bào)告的漏洞的進(jìn)展情況。促進(jìn)供應(yīng)商和安全研究人員之間的對(duì)話將有助于物聯(lián)網(wǎng)生態(tài)系統(tǒng)的成功。