本文根據(jù)a&s專訪Silicon Labs的首席安全官Sharon Hagi內(nèi)容整理
文/Sharon Hagi Silicon Labs首席安全官
近期��,美國(guó)總統(tǒng)拜登簽署了一項(xiàng)專門用于改善美國(guó)網(wǎng)絡(luò)安全工作的行政命令��。無(wú)論是最近對(duì)Colonial
Pipeline的勒索軟件攻擊���,還是之前對(duì)公共和私人資產(chǎn)的大量有害攻擊���,都急需該行政命令,它早就應(yīng)該頒布了��。
一個(gè)多世紀(jì)前���,當(dāng)?shù)谝慌_(tái)電動(dòng)設(shè)備開始進(jìn)入我們的家庭時(shí)�,由于缺乏聯(lián)邦安全電氣標(biāo)準(zhǔn),導(dǎo)致許多設(shè)備著火并燒毀了房屋�����。與歷史相似的是�����,在當(dāng)今物聯(lián)網(wǎng)市場(chǎng)中(即嵌入傳感器���、軟件和其他技術(shù)的智能設(shè)備網(wǎng)絡(luò)��,或者說(shuō)是“萬(wàn)物”網(wǎng)絡(luò)�����,其目的是通過(guò)互聯(lián)網(wǎng)相互連接和交換數(shù)據(jù))���,我們同樣看到了安全標(biāo)準(zhǔn)的缺乏。消費(fèi)者最熟悉的物聯(lián)網(wǎng)產(chǎn)品包括語(yǔ)音助手����、智能家居照明和安全攝像頭����。雖然物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)的欠缺并沒(méi)有引發(fā)真正的火災(zāi)���,但是卻讓消費(fèi)者及其財(cái)物面臨其他形式的嚴(yán)重危害。
我們自己造成的安全問(wèn)題
大多數(shù)消費(fèi)者錯(cuò)誤地認(rèn)為安全性已經(jīng)預(yù)置在購(gòu)買的物聯(lián)網(wǎng)產(chǎn)品中了�����,但事實(shí)上并非如此���。雖然行業(yè)聯(lián)盟和政府機(jī)構(gòu)已經(jīng)發(fā)布了各種建立最低安全級(jí)別的指南和網(wǎng)絡(luò)安全標(biāo)準(zhǔn)�,但嚴(yán)峻的現(xiàn)實(shí)是�,許多物聯(lián)網(wǎng)設(shè)備制造商和供應(yīng)商尚未采用或者實(shí)施其中任何一個(gè)。這就是為什么我們經(jīng)常聽到相關(guān)驚懼事件的原因了��,像智能電器��、醫(yī)療設(shè)備和嬰兒監(jiān)控的攝像頭被黑客入侵����、人們的隱私受到侵犯、數(shù)據(jù)被盜等等�。物聯(lián)網(wǎng)行業(yè)未能在大規(guī)模安全方面進(jìn)行自我監(jiān)管,實(shí)質(zhì)上迫使政府監(jiān)管機(jī)構(gòu)介入以保護(hù)最終用戶。據(jù)研究人員估計(jì)�����,40.8%的智能家居中至少有一個(gè)設(shè)備容易受到攻擊���,這是一個(gè)需要迫切關(guān)注的嚴(yán)峻形勢(shì)����。
正在進(jìn)行中的立法
在2020年���,美國(guó)通過(guò)了《2020年物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》���,這是美國(guó)第一條直接解決物聯(lián)網(wǎng)安全問(wèn)題的聯(lián)邦法律。該法案要求聯(lián)邦機(jī)構(gòu)采購(gòu)至少需符合最低網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的設(shè)備�,并建立漏洞報(bào)告和通知程序。參議員Ed
Markey(D-Mass.)和眾議員Ted Lieu
(D-Calif.)今年也再次提交網(wǎng)絡(luò)保護(hù)法案��,該法案旨在構(gòu)建一個(gè)自愿系統(tǒng)來(lái)認(rèn)證物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)安全保護(hù)�����。該法案將創(chuàng)建一個(gè)由來(lái)自政府����、行業(yè)和學(xué)術(shù)界的成員組成的聯(lián)邦咨詢委員會(huì)���,以設(shè)定網(wǎng)絡(luò)安全物聯(lián)網(wǎng)基準(zhǔn)����。
對(duì)于行業(yè)外的人士來(lái)說(shuō),技術(shù)立法絕非易事���,但隨著未來(lái)幾個(gè)月新技術(shù)法規(guī)的發(fā)展�,行業(yè)和消費(fèi)者都有必要為未來(lái)立法去了解一下物聯(lián)網(wǎng)安全中最重要的考慮因素:
(1)買到的即是安全的:可以說(shuō)���,物聯(lián)網(wǎng)安全需要改變的最重要的事情之一是政府需要強(qiáng)制物聯(lián)網(wǎng)產(chǎn)品制造商構(gòu)建默認(rèn)安全的產(chǎn)品���。新的物聯(lián)網(wǎng)產(chǎn)品應(yīng)該在啟用安全功能的情況下開箱即用。這也意味著���,一旦消費(fèi)者將新的物聯(lián)網(wǎng)設(shè)備添加到他們的網(wǎng)絡(luò)中��,該設(shè)備就可以安全使用了����,不再需要任何進(jìn)一步的安全配置。
(2)制造商運(yùn)營(yíng)安全:技術(shù)制造商需要在自己的運(yùn)營(yíng)中采用一套安全實(shí)踐�����,以確保他們制造的產(chǎn)品實(shí)際上是安全的�����。例如����,如果制造商不斷遇到內(nèi)部安全漏洞,而且這是由于其疏忽或不在意網(wǎng)絡(luò)安全�,或缺乏安全管理流程,那么可以公平地說(shuō)其產(chǎn)品安全也可能不符合安全標(biāo)準(zhǔn)���。
(3)必要的威脅建模研究:物聯(lián)網(wǎng)設(shè)備制造商還需要了解產(chǎn)品如何開發(fā)���、生產(chǎn)和客戶如何使用產(chǎn)品相關(guān)的威脅和風(fēng)險(xiǎn),這需要研究了解產(chǎn)品將如何使用���,比如它將處理什么樣的數(shù)據(jù)���,最重要的是�����,誰(shuí)可能想要破壞數(shù)據(jù)�����。一旦公司了解了誰(shuí)是最有可能的黑客,就可以設(shè)計(jì)產(chǎn)品來(lái)阻止這些攻擊者�����。
(4)強(qiáng)制的違規(guī)預(yù)案:公司必須證明他們具有有效的手段來(lái)應(yīng)對(duì)網(wǎng)絡(luò)安全事件����。他們必須擁有運(yùn)營(yíng)安全事件響應(yīng)流程,以便處理影響其運(yùn)營(yíng)的安全事件����;必須擁有產(chǎn)品安全事件響應(yīng)流程,以便幫助客戶處理影響所購(gòu)買產(chǎn)品和服務(wù)的安全事件�����。
(5)生命周期內(nèi)安全升級(jí):開發(fā)長(zhǎng)生命周期產(chǎn)品的公司必須證明�����,在產(chǎn)品的預(yù)期生命周期內(nèi),他們有能力安全地更新和升級(jí)產(chǎn)品的安全性�,以便及時(shí)應(yīng)對(duì)新出現(xiàn)的威脅。
(6)供應(yīng)鏈安全完整性:公司必須證明他們能夠有效管理影響其整個(gè)供應(yīng)鏈的風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全��。隨著時(shí)間的推移以及威脅的增長(zhǎng)及變化���,必須執(zhí)行定期責(zé)任制檢查以監(jiān)控安全標(biāo)準(zhǔn)的合規(guī)性�。
制定常識(shí)性的物聯(lián)網(wǎng)安全立法不是一項(xiàng)簡(jiǎn)單的任務(wù)���,但它是可以實(shí)現(xiàn)的��,并且必須完成���。拜登的行政命令令人鼓舞,并確認(rèn)了采用業(yè)內(nèi)許多公司已經(jīng)采取的網(wǎng)絡(luò)安全方法來(lái)保護(hù)物聯(lián)網(wǎng)�。這不是美國(guó)第一次處理有關(guān)家用電子產(chǎn)品安全產(chǎn)品政策的復(fù)雜立法,而且也不會(huì)是最后一次�。我樂(lè)觀地認(rèn)為,如果行業(yè)集體分享最佳實(shí)踐�,安全技術(shù)專業(yè)人士可以幫助立法者起草法規(guī),確保消費(fèi)者數(shù)據(jù)安全��,同時(shí)使物聯(lián)網(wǎng)技術(shù)在我們的日常生活中繼續(xù)蓬勃發(fā)展。
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來(lái)源于互聯(lián)網(wǎng)共享平臺(tái)�����。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的�,皆為無(wú)意。如您是字體廠商�����、圖片文字廠商等版權(quán)方�����,且不允許本站使用您的字體和圖片文字等素材�,請(qǐng)聯(lián)系我們�,本站核實(shí)后將立即刪除!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用����,并索要賠償或上訴法院的,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索�����,將不予任何的法律和經(jīng)濟(jì)賠償!敬請(qǐng)諒解���!
粵公網(wǎng)安備 44030402000264號(hào)