標識系統能解決物聯網安全挑戰嗎?
責編:gltian |2023-01-11 18:02:16雖然官方尚未公布實施細則,但美國政府牽頭的智能設備安全標識計劃將于2023年引入。從家用路由器到智能攝像頭,各種聯網設備將獲得類似家電所用“能源之星”(Energy Star)標簽的網絡安全標識。
問題在于:標識真的能幫助解決智能設備相關物聯網安全挑戰嗎?一些人將此物聯網網絡安全標識計劃與食品必須標注“營養成分”相提并論,但似乎并不能使人多欣喜幾分。垃圾食品和高糖食品的營養信息并沒有阻止人們消費不健康產品。
美國政府這一設備標識計劃會出現同樣的情況嗎?網絡安全標識能夠驅動消費者購買安全性好的設備?還是說,消費者仍會依然故我,延續以往根據產品可用性和價格挑東西的消費習慣?
想要更加直觀地回答上述問題,我們就得討論智能設備和物聯網安全挑戰,并闡述網絡安全標識計劃預期的種種好處。
挑戰1:缺乏可見性
物聯網產品制造商往往并未設置任何系統來監測其產品。一旦設備流入客戶手中,他們就不再費心檢查自家產品是否需要安全更新或補丁來修復故障和安全漏洞。他們沒有跟蹤產品變更或活動歷史的系統,無法借此確定問題根源并提供必要的修復。
制造商缺乏對產品的可見性意味著,這些物聯網產品不太可能安全。這是審查特定智能設備網絡威脅準備度時應該納入考量的一項重要事實,而美國政府提出的物聯網標識計劃能夠反映出這一事實。
挑戰2:被動應對零日威脅
絕大多數物聯網設備和智能設備制造商都沒在自己的產品安全策略中考慮到零日威脅。他們應對威脅的唯一解決方案基本都是被動打上安全補丁,而這種方法對零日威脅是無效的。開發并發布安全補丁來堵上新發現的漏洞需要時間。設備擁有者應用補丁所需的時間甚至更長。
在安裝上安全補丁之前,惡意攻擊者就很可能已經成功利用未修復的漏洞,造成了本可避免的破壞。物聯網設備制造商需考慮一改被動方式而采用主動式網絡安全解決方案。可參考的主動網絡安全解決方案有簡化網絡訪問控制(NAC)、Web應用防火墻(WAF)和擴展檢測與響應(XDR)等。
然而,這并不是說就不再需要安全修復。打補丁仍是保護智能設備安全的重要部分,但必須要有能夠應對零日漏洞或新興未知威脅的其他辦法。
物聯網網絡安全標識可指示特定物聯網設備或智能工具是否具備針對零日威脅的主動安全措施。監管機構有義務審查設備中的防護系統或其與企業所用主動網絡防御解決方案集成的能力。
挑戰3:開源和第三方漏洞暴露
很多物聯網設備制造商都不是從零開始開發自己的固件或設備中安裝的基礎軟件。低成本電子零售業廣為使用的量產通用設備就更是如此了。這些不知名的品牌或通用設備依靠開源軟件庫或第三方軟件庫執行身份驗證、通信、加密和其他基本功能。
有報告稱,約84%的代碼庫中含有包含已知安全漏洞的組件。這一數字應可警醒那些出于各種目的而采用廉價物聯網設備和智能設備的人。物聯網設備所遭大量“成功”網絡攻擊都可歸咎到開源軟件和第三方軟件庫上。正是這些開源軟件和第三方軟件庫使得網絡攻擊更加容易了,因為網絡罪犯只需要知道目標組織采用哪種特定設備,就能得出針對該企業或機構的有效攻擊策略。
物聯網設備網絡安全標識能夠提示潛在智能設備買家其擬購產品中可能存在的安全漏洞或軟件缺陷,幫助避免開源和第三方軟件庫所引發的安全問題。監管機構可全面監測所有開源和第三方軟件安全漏洞,提供并不斷更新這方面的指南。
挑戰4:性能壓過安全
物聯網設備天生資源有限,尤其在CPU、RAM和ROM方面。因此,物聯網設備無法封裝常為資源密集型的高級安全軟件工具。物聯網產品的種種限制導致難以整合安全和性能。
很多物聯網設備制造商承認有意減省安全功能以確保設備能運行得相對順暢。這就導致物聯網設備中存在各種漏洞,令設備更難以抵御攻擊,尤其是復雜的攻擊戰術。
美國這個計劃中將要成立的非營利/非政府組織旨在監管美國網絡安全認證和標識事宜,可評估設備,確定其網絡安全準備度。網絡安全標識和標識上的總體評分/等級將會反映出很多安全狀況。
挑戰5:過時安全工具和方法
一些智能設備制造商表現出了保護自身設備安全的意愿。然而,他們安裝的工具或采用的措施可能不再適用于當前威脅形勢。他們可能在用過時的靜態分析和漏洞發現解決方案,于改進產品安全毫無幫助。還有些制造商采用邊界防御和網絡分隔解決方案,但此類方案在檢測和阻止物聯網設備攻擊方面出了名的功能有限。
這些事實都需要在擬議物聯網網絡安全標識計劃中加以體現,從而鼓勵設備制造商更新其所用的安全解決方案。如果制造商拒絕更新安全功能,客戶就會知道若接入此類設備將可致自己的IT資產或資源面臨網絡安全風險。
是指南,不是萬靈丹
網絡安全標識系統就足以解決物聯網和聯網智能設備面臨的挑戰了嗎?這套系統肯定有所幫助,但不會是能畢全功的解決方案。從來沒有,也不會有完美無缺的解決方案。不過,標識能指導客戶做出明智的選擇。如果客戶仍然選擇網絡安全評級/分數較低且標有各類警告的設備,風險就由他們自己承擔。
盡管如此,權威機構可能會用標識為某些情形下可用的設備設置網絡安全級別可接受度閾值。這么做,他們就能巧妙執行在企業和政府辦公場所僅使用經驗證安全設備的策略了。
來源:數世咨詢