本文根據(jù)a&s專訪Silicon Labs的首席安全官Sharon Hagi內(nèi)容整理
文/Sharon Hagi Silicon Labs首席安全官
近期�����,美國總統(tǒng)拜登簽署了一項專門用于改善美國網(wǎng)絡(luò)安全工作的行政命令����。無論是最近對Colonial
Pipeline的勒索軟件攻擊,還是之前對公共和私人資產(chǎn)的大量有害攻擊�����,都急需該行政命令�,它早就應(yīng)該頒布了。
一個多世紀(jì)前����,當(dāng)?shù)谝慌_電動設(shè)備開始進(jìn)入我們的家庭時,由于缺乏聯(lián)邦安全電氣標(biāo)準(zhǔn)�����,導(dǎo)致許多設(shè)備著火并燒毀了房屋��。與歷史相似的是,在當(dāng)今物聯(lián)網(wǎng)市場中(即嵌入傳感器����、軟件和其他技術(shù)的智能設(shè)備網(wǎng)絡(luò),或者說是“萬物”網(wǎng)絡(luò)�,其目的是通過互聯(lián)網(wǎng)相互連接和交換數(shù)據(jù)),我們同樣看到了安全標(biāo)準(zhǔn)的缺乏����。消費(fèi)者最熟悉的物聯(lián)網(wǎng)產(chǎn)品包括語音助手、智能家居照明和安全攝像頭��。雖然物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)的欠缺并沒有引發(fā)真正的火災(zāi)����,但是卻讓消費(fèi)者及其財物面臨其他形式的嚴(yán)重危害����。
我們自己造成的安全問題
大多數(shù)消費(fèi)者錯誤地認(rèn)為安全性已經(jīng)預(yù)置在購買的物聯(lián)網(wǎng)產(chǎn)品中了,但事實(shí)上并非如此��。雖然行業(yè)聯(lián)盟和政府機(jī)構(gòu)已經(jīng)發(fā)布了各種建立最低安全級別的指南和網(wǎng)絡(luò)安全標(biāo)準(zhǔn)���,但嚴(yán)峻的現(xiàn)實(shí)是�,許多物聯(lián)網(wǎng)設(shè)備制造商和供應(yīng)商尚未采用或者實(shí)施其中任何一個。這就是為什么我們經(jīng)常聽到相關(guān)驚懼事件的原因了�,像智能電器、醫(yī)療設(shè)備和嬰兒監(jiān)控的攝像頭被黑客入侵����、人們的隱私受到侵犯、數(shù)據(jù)被盜等等����。物聯(lián)網(wǎng)行業(yè)未能在大規(guī)模安全方面進(jìn)行自我監(jiān)管,實(shí)質(zhì)上迫使政府監(jiān)管機(jī)構(gòu)介入以保護(hù)最終用戶��。據(jù)研究人員估計���,40.8%的智能家居中至少有一個設(shè)備容易受到攻擊���,這是一個需要迫切關(guān)注的嚴(yán)峻形勢。
正在進(jìn)行中的立法
在2020年���,美國通過了《2020年物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》���,這是美國第一條直接解決物聯(lián)網(wǎng)安全問題的聯(lián)邦法律。該法案要求聯(lián)邦機(jī)構(gòu)采購至少需符合最低網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的設(shè)備�����,并建立漏洞報告和通知程序。參議員Ed
Markey(D-Mass.)和眾議員Ted Lieu
(D-Calif.)今年也再次提交網(wǎng)絡(luò)保護(hù)法案�,該法案旨在構(gòu)建一個自愿系統(tǒng)來認(rèn)證物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)安全保護(hù)。該法案將創(chuàng)建一個由來自政府���、行業(yè)和學(xué)術(shù)界的成員組成的聯(lián)邦咨詢委員會��,以設(shè)定網(wǎng)絡(luò)安全物聯(lián)網(wǎng)基準(zhǔn)�。
對于行業(yè)外的人士來說����,技術(shù)立法絕非易事,但隨著未來幾個月新技術(shù)法規(guī)的發(fā)展�,行業(yè)和消費(fèi)者都有必要為未來立法去了解一下物聯(lián)網(wǎng)安全中最重要的考慮因素:
(1)買到的即是安全的:可以說,物聯(lián)網(wǎng)安全需要改變的最重要的事情之一是政府需要強(qiáng)制物聯(lián)網(wǎng)產(chǎn)品制造商構(gòu)建默認(rèn)安全的產(chǎn)品��。新的物聯(lián)網(wǎng)產(chǎn)品應(yīng)該在啟用安全功能的情況下開箱即用�。這也意味著���,一旦消費(fèi)者將新的物聯(lián)網(wǎng)設(shè)備添加到他們的網(wǎng)絡(luò)中���,該設(shè)備就可以安全使用了��,不再需要任何進(jìn)一步的安全配置�。
(2)制造商運(yùn)營安全:技術(shù)制造商需要在自己的運(yùn)營中采用一套安全實(shí)踐�����,以確保他們制造的產(chǎn)品實(shí)際上是安全的�����。例如�,如果制造商不斷遇到內(nèi)部安全漏洞,而且這是由于其疏忽或不在意網(wǎng)絡(luò)安全�����,或缺乏安全管理流程�����,那么可以公平地說其產(chǎn)品安全也可能不符合安全標(biāo)準(zhǔn)�����。
(3)必要的威脅建模研究:物聯(lián)網(wǎng)設(shè)備制造商還需要了解產(chǎn)品如何開發(fā)��、生產(chǎn)和客戶如何使用產(chǎn)品相關(guān)的威脅和風(fēng)險,這需要研究了解產(chǎn)品將如何使用�����,比如它將處理什么樣的數(shù)據(jù)�����,最重要的是�����,誰可能想要破壞數(shù)據(jù)����。一旦公司了解了誰是最有可能的黑客,就可以設(shè)計產(chǎn)品來阻止這些攻擊者�。
(4)強(qiáng)制的違規(guī)預(yù)案:公司必須證明他們具有有效的手段來應(yīng)對網(wǎng)絡(luò)安全事件。他們必須擁有運(yùn)營安全事件響應(yīng)流程�����,以便處理影響其運(yùn)營的安全事件��;必須擁有產(chǎn)品安全事件響應(yīng)流程����,以便幫助客戶處理影響所購買產(chǎn)品和服務(wù)的安全事件。
(5)生命周期內(nèi)安全升級:開發(fā)長生命周期產(chǎn)品的公司必須證明���,在產(chǎn)品的預(yù)期生命周期內(nèi)���,他們有能力安全地更新和升級產(chǎn)品的安全性,以便及時應(yīng)對新出現(xiàn)的威脅���。
(6)供應(yīng)鏈安全完整性:公司必須證明他們能夠有效管理影響其整個供應(yīng)鏈的風(fēng)險和網(wǎng)絡(luò)安全�����。隨著時間的推移以及威脅的增長及變化�,必須執(zhí)行定期責(zé)任制檢查以監(jiān)控安全標(biāo)準(zhǔn)的合規(guī)性����。
制定常識性的物聯(lián)網(wǎng)安全立法不是一項簡單的任務(wù)��,但它是可以實(shí)現(xiàn)的����,并且必須完成�。拜登的行政命令令人鼓舞,并確認(rèn)了采用業(yè)內(nèi)許多公司已經(jīng)采取的網(wǎng)絡(luò)安全方法來保護(hù)物聯(lián)網(wǎng)�。這不是美國第一次處理有關(guān)家用電子產(chǎn)品安全產(chǎn)品政策的復(fù)雜立法,而且也不會是最后一次���。我樂觀地認(rèn)為�,如果行業(yè)集體分享最佳實(shí)踐�,安全技術(shù)專業(yè)人士可以幫助立法者起草法規(guī),確保消費(fèi)者數(shù)據(jù)安全����,同時使物聯(lián)網(wǎng)技術(shù)在我們的日常生活中繼續(xù)蓬勃發(fā)展。
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺�����。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的��,皆為無意����。如您是字體廠商、圖片文字廠商等版權(quán)方���,且不允許本站使用您的字體和圖片文字等素材���,請聯(lián)系我們,本站核實(shí)后將立即刪除��!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用�����,并索要賠償或上訴法院的�����,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索�����,將不予任何的法律和經(jīng)濟(jì)賠償���!敬請諒解���!
粵公網(wǎng)安備 44030402000264號