五分之四的物联网(IoT)由于没有为人们提供披露其产品安全漏洞的途径,设备制造商未能通过基本的网络安全实践来披露其产品安全漏洞——这可能会让设备用户面临网络攻击和隐私泄露的风险。
物联网安全基金会(IoTSF) 是一个旨在帮助鼓励和保护物联网安全的科技产业组织。它研究和分析了数百家受欢迎的物联网产品制造商,发现只有五分之一以上的广告报告了公共渠道的安全漏洞 以修复它们。
物联网安全基金会的报告称,自去年以来,提供这种渠道的供应商 21% 略有上升。“基本卫生机制”方面的“冰川”进展。
尽管世界各国,包括英国、美国、新加坡、印度和澳大利亚,以及欧盟,都试图强调物联网设备网络安全的重要性和披露漏洞的能力。
报告指出,缺乏漏洞披露政策的部分原因可能是第一次进入物联网市场“非传统IT企业”,例如,时尚提供商推出网络产品,或厨房电器制造商在其产品中添加智能功能。
在这些情况下,制造商可能是第一次考虑在产品中建立网络安全,所以漏洞不仅可以找到进入设备的方法,而且没有固定的报告方法。
但该报告指出,“自2017年以来,任何有互联网连接的人都可以免费获得与物联网相关的最佳实践”,为了修复这些漏洞,四分之四的公司未能提供一种机制来报告安全漏洞。“低得不可接受”--这可能指向更广泛的问题。
“这通常只是冰山一角——这是一种不安全的金丝雀,让你意识到这些公司可能很少关注安全,”研究背后的公司 Copper Horse 首席执行官大卫罗杰斯告诉 ZDNet。
一些公司对安全研究人员的态度仍处于黑暗时代。他们的反应是让律师介入研究人员或试图迫使他们加入保密协议。这是愚蠢的,因为我们从2014年开始就有了ISO标准,这被认为是一种很好的做法,而且时间更长。当立法出台时,一些公司将受到巨大影响。”
物联网设备越来越成为家庭和办公室的固定设备。 虽然许多家庭品牌确实确保他们的产品配备了良好的安全措施——报告引用了索尼、松下、三星等LG、科技公司包括谷歌、微软、戴尔、联想、亚马逊、罗技和苹果——但消费者通常会购买更便宜的替代品,而不太注重安全。
这意味着,如果发现安全漏洞,无法通知制造商,用户可能处于危险之中。特别是对于似乎已经关闭的公司——报告指出,一些公司已经这样做了——这意味着即使有办法报告漏洞,也不太可能修复。
然而,尽管研究论文经常呈现物联网安全形势的严峻形势,但物联网安全基金会认为,这种情况最终会发生变化,并将成为产品设计的基本组成部分。
“安全有点像质量。要正确交付,它需要在公司内的所有流程中普遍存在,这样才能确保始终如一——也就是说,不是事后的想法或附加,”John Moor,董事物联网安全基金会经理告诉 ZDNet。
“我相信,在过去的30年里,随着我们将社会经济转变为更加数字化,安全将遵循与质量相似的道路——如果我们对其基本重要性有一个普遍的理解和正确的处理过程,我们自然会这样做——而不是作为附加组件,”他补充道。
【编辑推荐】