五分之四的物聯(lián)網(wǎng)(IoT)設(shè)備制造商未能通過(guò)基本的網(wǎng)絡(luò)安全實(shí)踐，因?yàn)樗鼈儧](méi)有為人們提供披露其產(chǎn)品安全漏洞的途徑——這可能會(huì)讓設(shè)備用戶面臨網(wǎng)絡(luò)攻擊和隱私泄露的風(fēng)險(xiǎn)。

[[433904]]

物聯(lián)網(wǎng)安全基金會(huì) (IoTSF) 是一個(gè)旨在幫助鼓勵(lì)保護(hù)物聯(lián)網(wǎng)安全的科技行業(yè)組織，其研究分析了數(shù)百家受歡迎的物聯(lián)網(wǎng)產(chǎn)品制造商，發(fā)現(xiàn)只有五分之一多的廣告在公共渠道上報(bào)告安全漏洞 以便修復(fù)它們。

自去年以來(lái)，提供這種渠道的供應(yīng)商的 21% 略有上升，物聯(lián)網(wǎng)安全基金會(huì)的報(bào)告將其描述為提供其所描述的“基本衛(wèi)生機(jī)制”方面的“冰川”進(jìn)展。

盡管包括英國(guó)、美國(guó)、新加坡、印度和澳大利亞在內(nèi)的世界各國(guó)以及歐盟都試圖強(qiáng)調(diào)物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全的重要性以及能夠披露漏洞的能力。

報(bào)告指出，缺乏漏洞披露政策的部分原因可能是首次進(jìn)入物聯(lián)網(wǎng)市場(chǎng)的“非傳統(tǒng)IT企業(yè)”，比如時(shí)尚提供商推出聯(lián)網(wǎng)產(chǎn)品，或者廚房電器制造商在其產(chǎn)品中添加智能功能。

在這些情況下，制造商很可能是第一次不得不考慮將網(wǎng)絡(luò)安全構(gòu)建到產(chǎn)品中，因此漏洞不僅可以找到進(jìn)入設(shè)備的途徑，而且沒(méi)有固定的報(bào)告途徑。

不過(guò)，該報(bào)告指出，“自2017年以來(lái)，任何有互聯(lián)網(wǎng)連接的人都可以免費(fèi)獲得與物聯(lián)網(wǎng)相關(guān)的最佳實(shí)踐”，五分之四的公司未能提供一種機(jī)制來(lái)報(bào)告安全漏洞，以便修復(fù)這些漏洞，這種方式“低得令人無(wú)法接受”--這可能指向更廣泛的問(wèn)題。

“這通常只是冰山一角——這是一種不安全的金絲雀，讓你意識(shí)到這些公司可能也很少關(guān)注安全性，”研究背后的公司 Copper Horse 的首席執(zhí)行官大衛(wèi)羅杰斯告訴 ZDNet。

在對(duì)待安全研究人員的態(tài)度方面，一些公司仍處于黑暗時(shí)代。他們的反應(yīng)將是讓律師介入研究人員或試圖迫使他們加入保密協(xié)議。這真是愚蠢的行為，因?yàn)槲覀儚?014年就有了ISO標(biāo)準(zhǔn)，這被認(rèn)為是很好的做法，而且時(shí)間更長(zhǎng)了。當(dāng)立法出臺(tái)時(shí)，其中一些公司將受到巨大沖擊。”

物聯(lián)網(wǎng)設(shè)備越來(lái)越成為家庭和辦公室的固定裝置。 雖然許多家庭品牌確實(shí)確保他們的產(chǎn)品配備了良好的安全措施——報(bào)告引用了包括索尼、松下、三星、LG、谷歌、微軟、戴爾、聯(lián)想、亞馬遜、羅技和蘋(píng)果在內(nèi)的科技公司——但消費(fèi)者通常會(huì) 購(gòu)買(mǎi)不太注重安全性的更便宜的替代品。

這意味著如果發(fā)現(xiàn)安全漏洞并且無(wú)法通知制造商，則可能會(huì)使用戶處于危險(xiǎn)之中。對(duì)于似乎已經(jīng)關(guān)閉的公司來(lái)說(shuō)尤其如此——報(bào)告指出，有些公司已經(jīng)這樣做了——這意味著即使有辦法報(bào)告漏洞，也不太可能得到修復(fù)。

但是，盡管研究論文經(jīng)常呈現(xiàn)當(dāng)今物聯(lián)網(wǎng)安全形勢(shì)的嚴(yán)峻形勢(shì)，但物聯(lián)網(wǎng)安全基金會(huì)認(rèn)為，最終，這種情況會(huì)發(fā)生變化，并將成為產(chǎn)品設(shè)計(jì)的基本組成部分。

“安全有點(diǎn)像質(zhì)量。要正確交付，它需要在公司內(nèi)的所有流程中普遍存在，這樣才能確保始終如一——也就是說(shuō)，不是事后的想法或附加的，”John Moor，經(jīng)理董事物聯(lián)網(wǎng)安全基金會(huì)告訴 ZDNet。 

“我相信，在過(guò)去 30 年中，隨著我們將社會(huì)和經(jīng)濟(jì)轉(zhuǎn)變?yōu)楦訑?shù)字化，安全將遵循與質(zhì)量相似的路徑——如果我們對(duì)其基本重要性建立一個(gè)普遍的理解并正確處理流程，我們會(huì)自然而然地做到這一點(diǎn)——而不是作為附加組件，”他補(bǔ)充道。

【編輯推薦】