物联网（IoT）设备不断遭到黑客攻击，数据被盗取，操作被拦截。ZvDednc

谷歌和三星的Android摄像头应用以及Ring的安防摄像头都曾被黑客“劫持”，用来监视用户。ZvDednc

Omdia（原IHS Markit – Technology）的调查数据显示，今年全球IoT设备的安装数将达到接近350亿台。Omdia的企业研究副总裁Bill Morelli表示，这意味着黑客有350亿次机会进行安全攻击。他指出：“网络安全已成为全球各组织最关注的问题，预计全球网络安全支出将从2019年的600亿美元增加到2023年的1570亿美元。”ZvDednc

消费类IoT设备的每个漏洞都可能给数百万用户的安全或隐私带来威胁。联网消费类产品中的很多漏洞都不是由设备制造商发现的，而是由外部网络安全研究人员和白帽黑客发现的。ZvDednc

这也是为什么人们普遍认为报告安全漏洞是IoT设备安全性的基本要求。那么，制造商不是应该尽一切可能得到这些报告，以便迅速找出并修复漏洞吗？ZvDednc

事实显然并非如此。ZvDednc

安全漏洞报告开始兴起

物联网安全基金会（IoT Security Foundation，IoTSF）的最新报告显示，在接受调查的消费类IoT设备制造商中，超过86％没有制定漏洞报告政策。不过，强制性法规很快就会出台，国际标准也在制定当中。ZvDednc

这是该基金会针对这一主题第二次发布年报，调查了全球共330家消费类IoT设备制造商，产品从相机到洗衣机都有，其中最大的两个产品类别是智能家居照明和智能家居安防。报告指出，“智能家居安防”部分的调查结果颇具讽刺意味，因为在37家厂商中，只有3家（仅占该类别的8.1％）拥有明确的安全漏洞报告政策。”ZvDednc

整体来看，拥有安全漏洞报告政策的公司所占百分比从9.7％增加到了13.3％，其中主要是拥有著名消费者品牌的大公司，例如亚马逊、苹果、FitBit、戴森、Garmin、谷歌、惠普、HTC、华为、联想、LG、摩托罗拉、三星、西门子、Signify和索尼。ZvDednc

ZvDednc

图1：IoTSF的执行董事John Moor表示，如果IoT产品的制造商没有安全漏洞报告政策，就不应涉足IoT业务。ZvDednc

IoTSF的执行董事John Moor说：“我还没仔细研究比例这么低的原因，但我认为，首先是因为许多公司都是新进入联网嵌入式设备领域，初来乍到，缺乏认知；第二个重要原因是这个问题没有责任归属，因为没有相关法规，所以有些公司不想自找麻烦。”但是，这其实并没有什么成本，最简单的安全漏洞报告系统只需要建立一个“/security”网页。ZvDednc

业者缺乏认知是最大的问题。Moor表示，由于连接到互联网的嵌入式产品数量激增，对电子产品设计和现场支持的要求也发生了深刻的变化。传统的嵌入式系统是不联网的，在连接到互联网并增加软件功能之后，这些系统及所连设备的攻击面都会大大增加。ZvDednc

迄今为止，安全漏洞报告程序都不是电子工程师或他们的主管非常在意的事情，但对于已经连接到物联网的产品（IoT设备），这是最基本的安全要求。ZvDednc

就算是IoTSF调查中那44家拥有安全漏洞报告的制造商，其政策的类别和复杂度也可能千差万别。超过三分之一的公司并没有设定报告安全漏洞的时间线，而时间线被认为是最好的方法。只有4家公司承诺在90天内解决所报告的安全问题。在这44家公司中，只有不到一半采用了安全漏洞报告奖励制度。给予金钱上的奖励，能让白帽黑客们更愿意将发现的安全漏洞报告给公司，而不是在黑市中进行交易。ZvDednc

ZvDednc

图2：一项针对全球消费类IoT产品制造商的调查显示，2019年拥有安全漏洞报告政策的公司比2018年略有增加。（图片来源：IoT Security Foundation）ZvDednc

“安全漏洞报告至关重要，”Moor强调，“如果你可以向任何人——包括客户、用户、研究人员和白帽黑客——提供一条报告漏洞的通道，你就能及时了解问题，然后解决问题。”ZvDednc

强制性法规即将出台

美国国土安全部（DHS）已经提出了保护IoT设备安全的建议，美国国家标准与技术研究所（NIST）发布了“Recommendations for IoT Device Manufacturers（给IoT设备制造商的建议书）”，IoTSF也为开发人员提供了“Secure Design Best Practice Guides（安全设计最佳实践指南）”。ZvDednc

欧洲电信标准协会（ETSI）提出了管理IoT设备的最新国际标准，英国最近也宣布将制定物联网安全法，它们都将强制要求披露安全漏洞。澳大利亚也有相关的法规提案。ZvDednc

“尽管标准提案并非用同一种语言，但说的都是同一件事。”Moor表示，目前安全漏洞处理程序的首选标准是ISO/IEC30111，其2014年和2015年版本是免费的，2019年版本则受版权保护，“这会带来虽然低但是很明显的门槛。”他说。ZvDednc

ETSI的新标准有望在今年夏天发布。它是根据英国消费类IoT设备安全法的最低要求制定的，内容包括：更改默认密码、执行安全漏洞披露政策，以及持续进行软件安全性更新。ZvDednc

ZvDednc

图3：根据全球范围的调查数据，相较北美和亚洲，欧洲执行最新安全标准和法规的公司（总部位于欧洲）数量最少。（图片来源：IoT Security Foundation）ZvDednc

ETSI标准和英国法规的总体目标是为IoT设备的网络安全建立基准线。研究人员从消费类设备开始，因为这些产品成本最低，安全性要求也不像医疗、汽车或国家基础设施等应用那么高。ZvDednc

“如果联网产品制造商没有安全漏洞报告政策，他们就不应涉足IoT业务。”Moor措词强硬，“这对行业的成功和最终用户的安全至关重要。而且，这是他们迟早要做的事，因为强制性法规即将出台。”ZvDednc

（原文刊登于ASPENCORE旗下EETimes英文网站，参考链接：IoT Device Vendors: Why Resist Vulnerability Reporting?。）ZvDednc

本文为《电子技术设计》2020年06月刊杂志文章，版权所有，禁止转载。免费杂志订阅申请点击这里。ZvDednc