標(biāo)識系統(tǒng)能解決物聯(lián)網(wǎng)安全挑戰(zhàn)嗎?
責(zé)編:gltian |2023-01-11 18:02:16雖然官方尚未公布實施細則,但美國政府牽頭的智能設(shè)備安全標(biāo)識計劃將于2023年引入。從家用路由器到智能攝像頭,各種聯(lián)網(wǎng)設(shè)備將獲得類似家電所用“能源之星”(Energy Star)標(biāo)簽的網(wǎng)絡(luò)安全標(biāo)識。
問題在于:標(biāo)識真的能幫助解決智能設(shè)備相關(guān)物聯(lián)網(wǎng)安全挑戰(zhàn)嗎?一些人將此物聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)識計劃與食品必須標(biāo)注“營養(yǎng)成分”相提并論,但似乎并不能使人多欣喜幾分。垃圾食品和高糖食品的營養(yǎng)信息并沒有阻止人們消費不健康產(chǎn)品。
美國政府這一設(shè)備標(biāo)識計劃會出現(xiàn)同樣的情況嗎?網(wǎng)絡(luò)安全標(biāo)識能夠驅(qū)動消費者購買安全性好的設(shè)備?還是說,消費者仍會依然故我,延續(xù)以往根據(jù)產(chǎn)品可用性和價格挑東西的消費習(xí)慣?
想要更加直觀地回答上述問題,我們就得討論智能設(shè)備和物聯(lián)網(wǎng)安全挑戰(zhàn),并闡述網(wǎng)絡(luò)安全標(biāo)識計劃預(yù)期的種種好處。
挑戰(zhàn)1:缺乏可見性
物聯(lián)網(wǎng)產(chǎn)品制造商往往并未設(shè)置任何系統(tǒng)來監(jiān)測其產(chǎn)品。一旦設(shè)備流入客戶手中,他們就不再費心檢查自家產(chǎn)品是否需要安全更新或補丁來修復(fù)故障和安全漏洞。他們沒有跟蹤產(chǎn)品變更或活動歷史的系統(tǒng),無法借此確定問題根源并提供必要的修復(fù)。
制造商缺乏對產(chǎn)品的可見性意味著,這些物聯(lián)網(wǎng)產(chǎn)品不太可能安全。這是審查特定智能設(shè)備網(wǎng)絡(luò)威脅準(zhǔn)備度時應(yīng)該納入考量的一項重要事實,而美國政府提出的物聯(lián)網(wǎng)標(biāo)識計劃能夠反映出這一事實。
挑戰(zhàn)2:被動應(yīng)對零日威脅
絕大多數(shù)物聯(lián)網(wǎng)設(shè)備和智能設(shè)備制造商都沒在自己的產(chǎn)品安全策略中考慮到零日威脅。他們應(yīng)對威脅的唯一解決方案基本都是被動打上安全補丁,而這種方法對零日威脅是無效的。開發(fā)并發(fā)布安全補丁來堵上新發(fā)現(xiàn)的漏洞需要時間。設(shè)備擁有者應(yīng)用補丁所需的時間甚至更長。
在安裝上安全補丁之前,惡意攻擊者就很可能已經(jīng)成功利用未修復(fù)的漏洞,造成了本可避免的破壞。物聯(lián)網(wǎng)設(shè)備制造商需考慮一改被動方式而采用主動式網(wǎng)絡(luò)安全解決方案。可參考的主動網(wǎng)絡(luò)安全解決方案有簡化網(wǎng)絡(luò)訪問控制(NAC)、Web應(yīng)用防火墻(WAF)和擴展檢測與響應(yīng)(XDR)等。
然而,這并不是說就不再需要安全修復(fù)。打補丁仍是保護智能設(shè)備安全的重要部分,但必須要有能夠應(yīng)對零日漏洞或新興未知威脅的其他辦法。
物聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)識可指示特定物聯(lián)網(wǎng)設(shè)備或智能工具是否具備針對零日威脅的主動安全措施。監(jiān)管機構(gòu)有義務(wù)審查設(shè)備中的防護系統(tǒng)或其與企業(yè)所用主動網(wǎng)絡(luò)防御解決方案集成的能力。
挑戰(zhàn)3:開源和第三方漏洞暴露
很多物聯(lián)網(wǎng)設(shè)備制造商都不是從零開始開發(fā)自己的固件或設(shè)備中安裝的基礎(chǔ)軟件。低成本電子零售業(yè)廣為使用的量產(chǎn)通用設(shè)備就更是如此了。這些不知名的品牌或通用設(shè)備依靠開源軟件庫或第三方軟件庫執(zhí)行身份驗證、通信、加密和其他基本功能。
有報告稱,約84%的代碼庫中含有包含已知安全漏洞的組件。這一數(shù)字應(yīng)可警醒那些出于各種目的而采用廉價物聯(lián)網(wǎng)設(shè)備和智能設(shè)備的人。物聯(lián)網(wǎng)設(shè)備所遭大量“成功”網(wǎng)絡(luò)攻擊都可歸咎到開源軟件和第三方軟件庫上。正是這些開源軟件和第三方軟件庫使得網(wǎng)絡(luò)攻擊更加容易了,因為網(wǎng)絡(luò)罪犯只需要知道目標(biāo)組織采用哪種特定設(shè)備,就能得出針對該企業(yè)或機構(gòu)的有效攻擊策略。
物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全標(biāo)識能夠提示潛在智能設(shè)備買家其擬購產(chǎn)品中可能存在的安全漏洞或軟件缺陷,幫助避免開源和第三方軟件庫所引發(fā)的安全問題。監(jiān)管機構(gòu)可全面監(jiān)測所有開源和第三方軟件安全漏洞,提供并不斷更新這方面的指南。
挑戰(zhàn)4:性能壓過安全
物聯(lián)網(wǎng)設(shè)備天生資源有限,尤其在CPU、RAM和ROM方面。因此,物聯(lián)網(wǎng)設(shè)備無法封裝常為資源密集型的高級安全軟件工具。物聯(lián)網(wǎng)產(chǎn)品的種種限制導(dǎo)致難以整合安全和性能。
很多物聯(lián)網(wǎng)設(shè)備制造商承認(rèn)有意減省安全功能以確保設(shè)備能運行得相對順暢。這就導(dǎo)致物聯(lián)網(wǎng)設(shè)備中存在各種漏洞,令設(shè)備更難以抵御攻擊,尤其是復(fù)雜的攻擊戰(zhàn)術(shù)。
美國這個計劃中將要成立的非營利/非政府組織旨在監(jiān)管美國網(wǎng)絡(luò)安全認(rèn)證和標(biāo)識事宜,可評估設(shè)備,確定其網(wǎng)絡(luò)安全準(zhǔn)備度。網(wǎng)絡(luò)安全標(biāo)識和標(biāo)識上的總體評分/等級將會反映出很多安全狀況。
挑戰(zhàn)5:過時安全工具和方法
一些智能設(shè)備制造商表現(xiàn)出了保護自身設(shè)備安全的意愿。然而,他們安裝的工具或采用的措施可能不再適用于當(dāng)前威脅形勢。他們可能在用過時的靜態(tài)分析和漏洞發(fā)現(xiàn)解決方案,于改進產(chǎn)品安全毫無幫助。還有些制造商采用邊界防御和網(wǎng)絡(luò)分隔解決方案,但此類方案在檢測和阻止物聯(lián)網(wǎng)設(shè)備攻擊方面出了名的功能有限。
這些事實都需要在擬議物聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)識計劃中加以體現(xiàn),從而鼓勵設(shè)備制造商更新其所用的安全解決方案。如果制造商拒絕更新安全功能,客戶就會知道若接入此類設(shè)備將可致自己的IT資產(chǎn)或資源面臨網(wǎng)絡(luò)安全風(fēng)險。
是指南,不是萬靈丹
網(wǎng)絡(luò)安全標(biāo)識系統(tǒng)就足以解決物聯(lián)網(wǎng)和聯(lián)網(wǎng)智能設(shè)備面臨的挑戰(zhàn)了嗎?這套系統(tǒng)肯定有所幫助,但不會是能畢全功的解決方案。從來沒有,也不會有完美無缺的解決方案。不過,標(biāo)識能指導(dǎo)客戶做出明智的選擇。如果客戶仍然選擇網(wǎng)絡(luò)安全評級/分?jǐn)?shù)較低且標(biāo)有各類警告的設(shè)備,風(fēng)險就由他們自己承擔(dān)。
盡管如此,權(quán)威機構(gòu)可能會用標(biāo)識為某些情形下可用的設(shè)備設(shè)置網(wǎng)絡(luò)安全級別可接受度閾值。這么做,他們就能巧妙執(zhí)行在企業(yè)和政府辦公場所僅使用經(jīng)驗證安全設(shè)備的策略了。
來源:數(shù)世咨詢
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧