物聯(lián)網(wǎng)（IoT）設(shè)備被黑客入侵導(dǎo)致數(shù)據(jù)被竊取、控制權(quán)被奪取等的案件層出不窮，包括Google與Samsung的Android平臺(tái)相機(jī)應(yīng)用程序，還有亞馬遜（Amazon）旗下的Ring品牌家用保全攝影機(jī)，都曾經(jīng)被“劫持”、用來窺探使用者。

根據(jù)市場研究機(jī)構(gòu)Omdia （前身為IHS Markit的科技市場研究部門）估計(jì)，2020年全世界的物聯(lián)網(wǎng)設(shè)備安裝量將達(dá)到350億臺(tái)；該機(jī)構(gòu)企業(yè)研究部門副總裁Bill Morelli在接受《EE Times》采訪的電子郵件中表示，這意味著有350億個(gè)讓黑客威脅安全性的機(jī)會(huì)。“因此，網(wǎng)絡(luò)安全已經(jīng)成為全球各個(gè)企業(yè)組織的第一優(yōu)先，”他指出：“全球網(wǎng)絡(luò)安全相關(guān)支出預(yù)計(jì)在2023年，從2019年的600億美元激增至1，570億美元。”

每一個(gè)消費(fèi)性物聯(lián)網(wǎng)設(shè)備的安全漏洞，都可能導(dǎo)致數(shù)百萬使用者的安全性與隱私權(quán)威脅；而且很多連網(wǎng)消費(fèi)性產(chǎn)品的安全漏洞都不是被制造商發(fā)現(xiàn)的，反而是外部的網(wǎng)絡(luò)安全專家，或是所謂的“白帽”（white-hat）黑客（EETT編按：就是沒有犯罪惡意的善良黑客）。

這也是為什么安全漏洞通報(bào)（vulnerability reporTIng）被廣泛認(rèn)為是對物聯(lián)網(wǎng)設(shè)備安全性的基本要求；所以難道制造商不該基于這個(gè)理由，盡一切可能來征求這類的發(fā)現(xiàn)，以快速找到漏洞所在并進(jìn)行修補(bǔ)？可惜事實(shí)顯然并非如此。

安全漏洞通報(bào)仍是一個(gè)新觀念

產(chǎn)業(yè)組織“物聯(lián)網(wǎng)安全性基金會(huì)”（IoT Security FoundaTIon，IoTSF）的最新報(bào)告指出，有超過86%的消費(fèi)性物聯(lián)網(wǎng)設(shè)備制造商沒有安全漏洞通報(bào)措施，政府主管機(jī)關(guān)短期內(nèi)并沒有相關(guān)強(qiáng)制要求的立法規(guī)劃，當(dāng)然也沒有訂定中的相關(guān)國際標(biāo)準(zhǔn)。

這是該基金會(huì)第二次發(fā)行的年報(bào)，調(diào)查了全球共330家消費(fèi)性物聯(lián)網(wǎng)制造商；它們的產(chǎn)品從攝影機(jī)到洗衣機(jī)都有，其中最大的兩個(gè)產(chǎn)品類別，是智能家用照明以及智慧家用保全。而就像報(bào)告中所寫：“有些諷刺的是，智慧家用保全（smart home security）產(chǎn)品類別中的37家廠商，只有3家（占據(jù)該類別8%比例）明顯擁有安全漏洞通報(bào)措施。”

整體看來，具備安全漏洞通報(bào)措施的業(yè)者比例，從9.7%增加到了13.3%；除了少數(shù)例外，那些業(yè)者大部分是消費(fèi)性品牌大廠，像是Amazon、Apple、FitBit、Dyson、Garmin、Google、HP、HTC、Huawei、Lenovo、LG、Motorola、Samsung、Siemens、Signify與Sony等公司。

對此IoTSF管理總監(jiān)John Moor接受《EE TImes》訪問時(shí)指出：“我們雖然還沒有針對該比例這么低的原因進(jìn)行正式研究，但我認(rèn)為首先是業(yè)者缺乏認(rèn)知，因?yàn)楹芏喙径际遣艅傔M(jìn)入連網(wǎng)嵌入式系統(tǒng)領(lǐng)域；其次，也最重要的是，這個(gè)問題沒有責(zé)任歸屬，因?yàn)闆]有相關(guān)法規(guī)，所以有些公司根本不想自找麻煩。”

但是，這其實(shí)花不了什么成本，最簡單的安全漏洞通報(bào)系統(tǒng)只需要建立一個(gè)網(wǎng)頁。業(yè)者缺乏認(rèn)知是最大的問題；Moor表示，連網(wǎng)嵌入式設(shè)備的激增，“正劇烈改變電子設(shè)計(jì)以及對現(xiàn)場支持的要求。”他指出，為那些在傳統(tǒng)上與外界隔絕的嵌入式設(shè)備添加鏈接性與軟件功能，大大增加了系統(tǒng)以及它們鏈接對象之攻擊面（attack surface）。

一直到最近，安全漏洞通報(bào)程序都不是電子工程師或是他們的主管非常在意的事情，但這對于物聯(lián)網(wǎng)設(shè)備來說是基本安全性要求。但就算是IoTSF調(diào)查中那44家擁有安全漏洞通報(bào)措施的公司，其通報(bào)程序也是五花八門而且復(fù)雜。

IoTSF報(bào)告顯示，超過三分之一的業(yè)者并沒有設(shè)置通報(bào)時(shí)程以取得最佳效果，其中只有4家訂定了90天的修正安全性問題期限。在這44家廠商中只有不到一半提供某種形式的錯(cuò)誤通報(bào)獎(jiǎng)勵(lì)──給予金錢上的獎(jiǎng)勵(lì)，能讓白帽黑客們更愿意將發(fā)現(xiàn)到的安全漏洞通報(bào)業(yè)者，而不是將之出售到“黑市”。

一項(xiàng)針對全球消費(fèi)性物聯(lián)網(wǎng)設(shè)備制造商的最新年度調(diào)查顯示，擁有安全漏洞通報(bào)措施的業(yè)者比例，只比去年增加一點(diǎn)點(diǎn)。（圖片來源：IoT Security FoundaTIon）

“安全漏洞通報(bào)至關(guān)重要，”Moor強(qiáng)調(diào)：“如果你有一個(gè)能讓任何人──包括客戶、使用者、研究人員、白帽黑客──提供通報(bào)的管道，你就擁有了能及時(shí)修正問題的情報(bào)系統(tǒng)。”

即將訂定的標(biāo)準(zhǔn)將帶來強(qiáng)制規(guī)范

美國國土安全部（U.S. Department of Homeland Security）已經(jīng)提出保護(hù)物聯(lián)網(wǎng)設(shè)備安全的建議，美國國家標(biāo)準(zhǔn)暨技術(shù)研究院（NIST）也公布了一份“給物聯(lián)網(wǎng)設(shè)備制造商的建議”；IoTSF則為物聯(lián)網(wǎng)設(shè)備開發(fā)者們提供“安全設(shè)計(jì)最佳實(shí)例指南”。

包括歐洲電信標(biāo)準(zhǔn)協(xié)會(huì)（European Telecommunications Standards Institute，ESTI）等，則提案訂定國際性的物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)；還有英國最近宣布將訂定物聯(lián)網(wǎng)安全法，將安全漏洞通報(bào)列為強(qiáng)制性規(guī)范。澳洲政府也有相關(guān)的行為準(zhǔn)則提案。

“雖然那些標(biāo)準(zhǔn)提案不盡相同，基本上都在描述相同的事情；”Moor表示，目前實(shí)際可用的安全漏洞處理程序標(biāo)準(zhǔn)是ISO/IEC 30111，2014與2015年的版本已經(jīng)免費(fèi)公開，但2019年版則受版權(quán)保護(hù)：“這會(huì)帶來雖然低但是值得注意的一個(gè)門坎。”

ETSI訂定的標(biāo)準(zhǔn)預(yù)計(jì)今年夏天出爐，是以英國的消費(fèi)性物聯(lián)網(wǎng)安全性準(zhǔn)則（UK Code of Practice for Consumer IoT Security）以及該準(zhǔn)則的最低要求為基礎(chǔ)，包括變更默認(rèn)密碼、設(shè)置安全漏洞通報(bào)措施，以及持續(xù)進(jìn)行軟件安全性更新等。

根據(jù)全球性調(diào)查，擁有符合即將出爐標(biāo)準(zhǔn)或法規(guī)之安全漏洞通報(bào)措施的歐洲業(yè)者比例，低于北美與亞洲的業(yè)者。（圖片來源：IoT Security Foundation）
 

ETSI標(biāo)準(zhǔn)與英國法規(guī)的整體目標(biāo)，是為物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)安全性建立基線；相關(guān)標(biāo)準(zhǔn)的研究人員從消費(fèi)性等級設(shè)備起步，是因?yàn)檫@些產(chǎn)品的成本最低，安全性要求也沒有像醫(yī)療、汽車、國營事業(yè)基礎(chǔ)設(shè)施等應(yīng)用那么高。

“如果連網(wǎng)設(shè)備制造商沒有安全漏洞通報(bào)措施，它們根本不應(yīng)該做連網(wǎng)設(shè)備生意；”Moor措詞強(qiáng)硬地表示：“這對產(chǎn)業(yè)的成功以及終端使用者的安全至關(guān)重要，而且他們遲早得要有，因?yàn)閺?qiáng)制性法規(guī)馬上就要出現(xiàn)了。”
  （本文轉(zhuǎn)載自電子發(fā)燒友網(wǎng)，如有侵權(quán)，請聯(lián)系刪除）