解决第三方物联网漏洞需要转变网络安全范式

唯一有能力保护物联网设备的实体,就是物联网设备制造商本身。

Ripple20漏洞影响数以亿计的物联网(IoT)设备,为联网设备再次敲响第三方漏洞风险警钟。

全球约有310亿台物联网设备执行大量关键功能 (驱动拯救生命的医疗设备、促进高效交通运输和转变关键业务流程), 但这些设备极易受到攻击。在很大程度上,这是因为原始设备制造商(OEM)依赖第三方供应商(如深陷Ripple20泥潭的俄亥俄软件公司Treck),而第三方供应商出售充斥恶意黑客潜在入口点的代码。

无论如何,波耐蒙研究所最近的一项研究发现,约六成公司企业没有监控第三方物联网设备的网络风险,导致数千家企业和机构需为提供带漏洞产品负责,面临遭受严重经济损失和声誉损害的风险。

鉴于最终用户通常缺乏足够的安全机制来保护其联网设备,能够保护物联网设备免受这些风险影响的唯一实体,就是物联网设备制造商本身。网络漏洞好似病毒毒株,封死旧的又冒新的,包治百病的灵丹妙药并不存在。但设备制造商可以承担起责任,保护各个设备,从而防止攻击并保障物联网创新。

漏洞泛滥

物联网网络安全防护不足,谁风险最大?基本上,每个人都面临不小的风险。以Ripple20为例,位于美国俄亥俄州的软件公司Treck,所售卖代码中竟然发现了19个漏洞。以色列安全公司JSOF发现了这些漏洞,其研究人员指出,Treck公司的代码运行在多种设备上,从家庭主妇到网红店主到财富500强企业,各类人员都在使用这些设备。受影响行业涵盖各个领域,包括医疗、运输、能源、零售等。

Ripple20漏洞曝光前不久,Zephyr实时操作系统(RTOS)刚曝出26个新漏洞。而RTOS是受英特尔、Nordic和德州仪器公司支持的物联网设备操作系统。

另一案例中,美国食品药品监督管理局(US Food and Drug and Administration)在3月宣布:又发现12个第三方漏洞。这组名为“SweynTooth”的第三方漏洞会影响物联网医疗设备,凸显出网络安全漏洞带来的风险可能会超出财产和声誉范畴,波及生命本身,因为黑客有可能窃取敏感医疗数据,或阻碍心脏监护仪等设备正常工作。

上述案例表明:物联网设备漏洞趋于泛滥。那么,设备制造商怎样应对如此规模的物联网漏洞威胁呢?

OEM新压力

幸运的是,新披露的物联网漏洞已经引起了决策者的注意。监管机制正将责任重担转移到设备制造商身上。案例分析:加利福尼亚州的一项新法律于1月生效,要求物联网OEM为其制造的设备配备网络安全功能,这些网络安全功能应匹配设备自身特定性质,适用于设备收集和传输的信息,同时还要防止未经授权的访问或操纵。这项法律使加利福尼亚州继俄勒冈州之后,成为美国第二个采纳此类法律的州。

同时,英国数字、文化、媒体和体育部在今年早些时候公布了类似的法规,要求设备制造商提供公共联络点,方便报告和响应漏洞,并明确声明设备安全更新的最短时间。

全球各国政府应加入这一监管工作,向OEM施加压力,要求其迅速采取行动,保护这些对我们的生活和生计至关重要的设备。至少,如果设备本身未实现恰当的安全措施,就不允许进入市场。

范式转变

物联网网络安全的目标不应是消除所有漏洞,这么做只会让制造商奔向失败。漏洞会一直伴随我们左右。因此,我们真正要做的,是转变制造商如何看待联网设备安全的范式。

设备制造商不能依赖第三方供应商安全。作为安全看门人,OEM厂商本身必须为保护客户而实施控制措施。有效的设计保护不仅应当包括保护制造商的代码,还应保护所有第三方组件。为什么设计安全、静态分析,乃至硬件安全不能完全满足物联网防护需求?因为物联网网络安全只是安全大难题的一部分,且无法保护分布式设备。

如果制造商最终确实发现了漏洞,应该修补漏洞,但修补不应成为其网络安全策略的重点。相反,OEM应该寻求创新解决方案,着重于防止攻击(无论是否存在漏洞)。这一点可通过物联网设备网络安全新技术来达成。采用此类新技术,OEM便可以花更少的时间和金钱来寻找漏洞,因为他们能用更好的工具来阻止漏洞利用和即时响应事件。

物联网时代,每台设备都是攻击者的潜在切入点,这就是制造商应确保将网络保护嵌入到每台设备中的原因所在。到2024年,5G网络物联网有望为运营商带来80亿美元的收入,此类网络安全解决方案至关重要。

上一篇:免费勒索解密工具帮助受害者挽回6亿美元

下一篇:容器安全五大风险