- 易迪拓培训,专注于微波、射频、天线设计工程师的培养
物联网安全靠啥保障,美安全部一纸准则能起什么作用?
该准则要求业者在设计、生产物联网装置时应负起资讯安全责任,在设计阶段即考量安全问题,例如安全的作法、软体更新、漏洞管理及因应。
美国国土安全部(Department of Homeland Security,DHS)于本周二(11/15)发表了" 保护物联网策略准则"(Strategic Principles for Securing the Internet of Things)1.0版,呼吁物联网生态体系在设计、 生产及使用物联网装置与系统时皆应负起保障物联网(IoT) 安全的责任。
美国国土安全部长Jeh Johnson指出, 大众对连网技术的依赖程度已经超出了保护范围, 人们日益仰赖各种连网活动, 从自动驾驶车到供水与供电的控制系统, 都让物联网成为国土安全的重要议题, 此一准则将让设备制造商进行安全决策时有所依据。
该准则的要点包括在设计阶段就应考量安全问题、 改善安全更新与漏洞管理机制、建立可靠的安全作法、以安全为优先任务、推动IoT生态体系的透明化,以及谨慎连结等。 以督促业者从开发、生产、 导入及使用物联网等各阶段都能确保安全性。
此外,在本周一场有关IoT安全性的美国会公听会上, 也有一些安全专家呼吁政府应立法保障IoT安全。 专精于医疗照护网路安全的Virta Labs执行长Kevin Fu即说,现在IoT安全正处于一个令人感到难过的阶段, 因为生产及部署不安全IoT装置的业者几乎不需要负担任何责任。
哈佛大学网路生态研究中心Berkman Klein Center研究员Bruce Schneier则说, 让此一局面得以维持的原因是不管制造商或是消费者都不在乎IoT 的安全性,因此需要政府介入。 Schneier甚至提议政府应设立一个全新的机构来强制执行I oT法令。
缺乏安全与更新机制让IoT装置近来逐渐成为僵尸网路的主力, 例如根据Level 3威胁研究中心(Level 3 Threat Research Labs)的统计, Mirai僵尸病毒感染近50万台IoT装置, 而Bashlight僵尸病毒则感染超过96万台的IoT装置, 其中的Mirai更是今年9月及10月发动分散式阻断服务( DDoS)攻击, 瘫痪KrebsOnSecurity资安部落格、攻击网站代管服务供应商OVH与美国网路效能管理公司Dyn旗下 DNS服务的元凶。
[p]