本文来自微信公众号“数世咨询”,作者/nana。
虽然官方尚未公布实施细则,但美国政府牵头的智能设备安全标识计划将于2023年引入。从家用路由器到智能摄像头,各种联网设备将获得类似家电所用“能源之星”(Energy Star)标签的网络安全标识。
问题在于:标识真的能帮助解决智能设备相关物联网安全挑战吗?一些人将此物联网网络安全标识计划与食品必须标注“营养成分”相提并论,但似乎并不能使人多欣喜几分。垃圾食品和高糖食品的营养信息并没有阻止人们消费不健康产品。
美国政府这一设备标识计划会出现同样的情况吗?网络安全标识能够驱动消费者购买安全性好的设备?还是说,消费者仍会依然故我,延续以往根据产品可用性和价格挑东西的消费习惯?
想要更加直观地回答上述问题,我们就得讨论智能设备和物联网安全挑战,并阐述网络安全标识计划预期的种种好处。
挑战1:缺乏可见性
物联网产品制造商往往并未设置任何系统来监测其产品。一旦设备流入客户手中,他们就不再费心检查自家产品是否需要安全更新或补丁来修复故障和安全漏洞。他们没有跟踪产品变更或活动历史的系统,无法借此确定问题根源并提供必要的修复。
制造商缺乏对产品的可见性意味着,这些物联网产品不太可能安全。这是审查特定智能设备网络威胁准备度时应该纳入考量的一项重要事实,而美国政府提出的物联网标识计划能够反映出这一事实。
挑战2:被动应对零日威胁
绝大多数物联网设备和智能设备制造商都没在自己的产品安全策略中考虑到零日威胁。他们应对威胁的唯一解决方案基本都是被动打上安全补丁,而这种方法对零日威胁是无效的。开发并发布安全补丁来堵上新发现的漏洞需要时间。设备拥有者应用补丁所需的时间甚至更长。
在安装上安全补丁之前,恶意攻击者就很可能已经成功利用未修复的漏洞,造成了本可避免的破坏。物联网设备制造商需考虑一改被动方式而采用主动式网络安全解决方案。可参考的主动网络安全解决方案有简化网络访问控制(NAC)、Web应用防火墙(WAF)和扩展检测与响应(XDR)等。
然而,这并不是说就不再需要安全修复。打补丁仍是保护智能设备安全的重要部分,但必须要有能够应对零日漏洞或新兴未知威胁的其他办法。
物联网网络安全标识可指示特定物联网设备或智能工具是否具备针对零日威胁的主动安全措施。监管机构有义务审查设备中的防护系统或其与企业所用主动网络防御解决方案集成的能力。
挑战3:开源和第三方漏洞暴露
很多物联网设备制造商都不是从零开始开发自己的固件或设备中安装的基础软件。低成本电子零售业广为使用的量产通用设备就更是如此了。这些不知名的品牌或通用设备依靠开源软件库或第三方软件库执行身份验证、通信、加密和其他基本功能。
有报告称,约84%的代码库中含有包含已知安全漏洞的组件。这一数字应可警醒那些出于各种目的而采用廉价物联网设备和智能设备的人。物联网设备所遭大量“成功”网络攻击都可归咎到开源软件和第三方软件库上。正是这些开源软件和第三方软件库使得网络攻击更加容易了,因为网络罪犯只需要知道目标组织采用哪种特定设备,就能得出针对该企业或机构的有效攻击策略。
物联网设备网络安全标识能够提示潜在智能设备买家其拟购产品中可能存在的安全漏洞或软件缺陷,帮助避免开源和第三方软件库所引发的安全问题。监管机构可全面监测所有开源和第三方软件安全漏洞,提供并不断更新这方面的指南。
挑战4:性能压过安全
物联网设备天生资源有限,尤其在CPU、RAM和ROM方面。因此,物联网设备无法封装常为资源密集型的高级安全软件工具。物联网产品的种种限制导致难以整合安全和性能。
很多物联网设备制造商承认有意减省安全功能以确保设备能运行得相对顺畅。这就导致物联网设备中存在各种漏洞,令设备更难以抵御攻击,尤其是复杂的攻击战术。
美国这个计划中将要成立的非营利/非政府组织旨在监管美国网络安全认证和标识事宜,可评估设备,确定其网络安全准备度。网络安全标识和标识上的总体评分/等级将会反映出很多安全状况。
挑战5:过时安全工具和方法
一些智能设备制造商表现出了保护自身设备安全的意愿。然而,他们安装的工具或采用的措施可能不再适用于当前威胁形势。他们可能在用过时的静态分析和漏洞发现解决方案,于改进产品安全毫无帮助。还有些制造商采用边界防御和网络分隔解决方案,但此类方案在检测和阻止物联网设备攻击方面出了名的功能有限。
这些事实都需要在拟议物联网网络安全标识计划中加以体现,从而鼓励设备制造商更新其所用的安全解决方案。如果制造商拒绝更新安全功能,客户就会知道若接入此类设备将可致自己的IT资产或资源面临网络安全风险。
是指南,不是万灵丹
网络安全标识系统就足以解决物联网和联网智能设备面临的挑战了吗?这套系统肯定有所帮助,但不会是能毕全功的解决方案。从来没有,也不会有完美无缺的解决方案。不过,标识能指导客户做出明智的选择。如果客户仍然选择网络安全评级/分数较低且标有各类警告的设备,风险就由他们自己承担。
尽管如此,权威机构可能会用标识为某些情形下可用的设备设置网络安全级别可接受度阈值。这么做,他们就能巧妙执行在企业和政府办公场所仅使用经验证安全设备的策略了。