解決第三方物聯網漏洞需要轉變網絡安全范式
責編:gltian |2020-08-05 14:26:47唯一有能力保護物聯網設備的實體,就是物聯網設備制造商本身。
Ripple20漏洞影響數以億計的物聯網(IoT)設備,為聯網設備再次敲響第三方漏洞風險警鐘。
全球約有310億臺物聯網設備執行大量關鍵功能 (驅動拯救生命的醫療設備、促進高效交通運輸和轉變關鍵業務流程), 但這些設備極易受到攻擊。在很大程度上,這是因為原始設備制造商(OEM)依賴第三方供應商(如深陷Ripple20泥潭的俄亥俄軟件公司Treck),而第三方供應商出售充斥惡意黑客潛在入口點的代碼。
無論如何,波耐蒙研究所最近的一項研究發現,約六成公司企業沒有監控第三方物聯網設備的網絡風險,導致數千家企業和機構需為提供帶漏洞產品負責,面臨遭受嚴重經濟損失和聲譽損害的風險。
鑒于最終用戶通常缺乏足夠的安全機制來保護其聯網設備,能夠保護物聯網設備免受這些風險影響的唯一實體,就是物聯網設備制造商本身。網絡漏洞好似病毒毒株,封死舊的又冒新的,包治百病的靈丹妙藥并不存在。但設備制造商可以承擔起責任,保護各個設備,從而防止攻擊并保障物聯網創新。
漏洞泛濫
物聯網網絡安全防護不足,誰風險最大?基本上,每個人都面臨不小的風險。以Ripple20為例,位于美國俄亥俄州的軟件公司Treck,所售賣代碼中竟然發現了19個漏洞。以色列安全公司JSOF發現了這些漏洞,其研究人員指出,Treck公司的代碼運行在多種設備上,從家庭主婦到網紅店主到財富500強企業,各類人員都在使用這些設備。受影響行業涵蓋各個領域,包括醫療、運輸、能源、零售等。
Ripple20漏洞曝光前不久,Zephyr實時操作系統(RTOS)剛曝出26個新漏洞。而RTOS是受英特爾、Nordic和德州儀器公司支持的物聯網設備操作系統。
另一案例中,美國食品藥品監督管理局(US Food and Drug and Administration)在3月宣布:又發現12個第三方漏洞。這組名為“SweynTooth”的第三方漏洞會影響物聯網醫療設備,凸顯出網絡安全漏洞帶來的風險可能會超出財產和聲譽范疇,波及生命本身,因為黑客有可能竊取敏感醫療數據,或阻礙心臟監護儀等設備正常工作。
上述案例表明:物聯網設備漏洞趨于泛濫。那么,設備制造商怎樣應對如此規模的物聯網漏洞威脅呢?
OEM新壓力
幸運的是,新披露的物聯網漏洞已經引起了決策者的注意。監管機制正將責任重擔轉移到設備制造商身上。案例分析:加利福尼亞州的一項新法律于1月生效,要求物聯網OEM為其制造的設備配備網絡安全功能,這些網絡安全功能應匹配設備自身特定性質,適用于設備收集和傳輸的信息,同時還要防止未經授權的訪問或操縱。這項法律使加利福尼亞州繼俄勒岡州之后,成為美國第二個采納此類法律的州。
同時,英國數字、文化、媒體和體育部在今年早些時候公布了類似的法規,要求設備制造商提供公共聯絡點,方便報告和響應漏洞,并明確聲明設備安全更新的最短時間。
全球各國政府應加入這一監管工作,向OEM施加壓力,要求其迅速采取行動,保護這些對我們的生活和生計至關重要的設備。至少,如果設備本身未實現恰當的安全措施,就不允許進入市場。
范式轉變
物聯網網絡安全的目標不應是消除所有漏洞,這么做只會讓制造商奔向失敗。漏洞會一直伴隨我們左右。因此,我們真正要做的,是轉變制造商如何看待聯網設備安全的范式。
設備制造商不能依賴第三方供應商安全。作為安全看門人,OEM廠商本身必須為保護客戶而實施控制措施。有效的設計保護不僅應當包括保護制造商的代碼,還應保護所有第三方組件。為什么設計安全、靜態分析,乃至硬件安全不能完全滿足物聯網防護需求?因為物聯網網絡安全只是安全大難題的一部分,且無法保護分布式設備。
如果制造商最終確實發現了漏洞,應該修補漏洞,但修補不應成為其網絡安全策略的重點。相反,OEM應該尋求創新解決方案,著重于防止攻擊(無論是否存在漏洞)。這一點可通過物聯網設備網絡安全新技術來達成。采用此類新技術,OEM便可以花更少的時間和金錢來尋找漏洞,因為他們能用更好的工具來阻止漏洞利用和即時響應事件。
物聯網時代,每臺設備都是攻擊者的潛在切入點,這就是制造商應確保將網絡保護嵌入到每臺設備中的原因所在。到2024年,5G網絡物聯網有望為運營商帶來80億美元的收入,此類網絡安全解決方案至關重要。
下一篇:容器安全五大風險