英国政府正在推进制定物联网设备的监管计划,对此,Digicert物联网安全副总裁迈克?纳尔逊表示,此举遵循了一种广泛的全球趋势,那就是试图锁定物联网这个新兴但不安全的世界。
长期以来,物联网设备都有着各种漏洞,而这些漏洞威胁着用户面临奇怪的新型灾难。从利用物联网设备本身功能的攻击,例如可破解的汽车或可转变为远程监控设备的玩偶,到像mirai攻击这样大规模威胁互联网基础设施的事件。正是这些原因,英国政府才加快了步伐。
这些法规旨在建立在2018年《设计安全操作守则》的基础上,该守则为物联网设备制造商和消费者提供了一系列关于如何安全构建和使用物联网设备的指南。其中包括安全存储凭据和其他安全数据、最小化暴露的攻击面、确保物联网设备上软件的完整性和持续更新以及确保设备之间的安全通信的建议。
实践守则还表示,它的推出是希望人们遵守,如果他们不遵守,政府将开始强制执行这些准则,其中三项准则是监管机构现在将至少强制执行的。
首先,物联网密码必须是唯一的,不能重设为出厂默认值,从而允许攻击者仅查找该密码。
其次,制造商必须有一个公开宣传的漏洞披露联系人,以便及时报告和修复漏洞。
最后,制造商必须明确规定设备接收安全更新的最短时间,以便消费者可以计划下架或在此基础上做出其他安全决策。
如果设备符合这些准则,政府将对该产品盖上安全性认可的印章,虽然这看起来是一个简单的行为,但它却深刻改变了物联网安全和消费者之间的关系。
物联网安全留给制造商
虽然物联网安全一直以来都是由制造商和企业安全团队在事后修复,但设计安全的认证方案最终将这些安全决策交给了消费者,而现在,他们可以在将弱保护、易受攻击的设备引入安全网络之前做出这些决定。
既然消费者在购买物联网设备时可以考虑到安全性,那么它就可以成为一种竞争优势。到目前为止,制造商制造出不安全的设备主要是因为这样做对他们来说更便宜,没有市场需求来制造安全的设备,也没有太多的市场需求能让它们盈利。
计算太晚
虽然这是一个简单的计算,但已经做得太晚了。很长一段时间以来,这一块钱实际上都留给了制造商来确保他们的物联网产品的安全,没有胡萝卜也没有大棒来推动它们前进。它不能解决所有的安全问题,但它是一个值得称赞的答案,这个问题已经困扰这个领域很长时间了。世界各国政府都开始制造大棒,但设计安全和认证方案的聪明之处在于,它也有一根胡萝卜。