隨著越來越多的人在家遠(yuǎn)程工作，將會(huì)面臨更多的網(wǎng)絡(luò)攻擊。物聯(lián)網(wǎng)披露漏洞平臺(tái)將會(huì)加強(qiáng)消費(fèi)者和企業(yè)物聯(lián)網(wǎng)的安全意識(shí)，并協(xié)助物聯(lián)網(wǎng)制造商制定相關(guān)法規(guī)。

由英國主導(dǎo)成立的物聯(lián)網(wǎng)安全基金會(huì)(IoTSF)于今年10月宣布，推出了針對(duì)消費(fèi)者物聯(lián)網(wǎng)的漏洞披露平臺(tái)VulnerableThings。該平臺(tái)為物聯(lián)網(wǎng)供應(yīng)商制定相關(guān)安全法規(guī)做好了準(zhǔn)備，并為安全研究人員提供了一種報(bào)告漏洞的簡便方法。

很多組織使用了可用的漏洞披露報(bào)告流程和資源，例如Mitre常見漏洞和披露程序或NIST國家漏洞數(shù)據(jù)庫。物聯(lián)網(wǎng)安全基金會(huì)旨在簡化研究人員和供應(yīng)商必須克服的困難。該平臺(tái)為物聯(lián)網(wǎng)制造商提供策略模板，并提示其解決消費(fèi)者物聯(lián)網(wǎng)的漏洞并符合行業(yè)標(biāo)準(zhǔn)。安全研究人員可以提交漏洞，并跟蹤制造商解決漏洞的進(jìn)度。

調(diào)研機(jī)構(gòu)Forrester Research公司副總裁兼研究主管Merritt Maxim說，“組織需要在任何時(shí)候公開披露漏洞，最終會(huì)創(chuàng)建一個(gè)越來越強(qiáng)大的安全模型。這個(gè)平臺(tái)需要一定的時(shí)間才能被接受和使用，而這些披露也需要時(shí)間才能得到報(bào)告。這不是一蹴而就的解決方案，但卻是朝著正確方向邁出的一步。”

漏洞管理是公認(rèn)的基本安全實(shí)踐。物聯(lián)網(wǎng)行業(yè)成員(其中包括董事會(huì)成員、供應(yīng)鏈經(jīng)理和產(chǎn)品安全人員)都必須了解協(xié)調(diào)一致的漏洞披露方法以保護(hù)其產(chǎn)品。

物聯(lián)網(wǎng)安全基金會(huì)常務(wù)董事John Moor在一封電子郵件中寫道，“無論組織是否選擇VulnerableThings獲得幫助，需要確保其有報(bào)告漏洞的渠道以及解決問題的適當(dāng)流程。這對(duì)于保護(hù)組織的業(yè)務(wù)、客戶和更廣泛的物聯(lián)網(wǎng)生態(tài)系統(tǒng)免受攻擊是必要的?！?/p>

為什么物聯(lián)網(wǎng)漏洞平臺(tái)對(duì)組織很重要

VulnerableThings平臺(tái)專注于披露消費(fèi)者物聯(lián)網(wǎng)的漏洞，但物聯(lián)網(wǎng)整體趨勢(shì)使物聯(lián)網(wǎng)產(chǎn)品安全成為組織日益關(guān)注的問題。

Moor說，“物聯(lián)網(wǎng)安全基金會(huì)最初以消費(fèi)物聯(lián)網(wǎng)部門為目標(biāo)，因?yàn)檫@是需要進(jìn)行監(jiān)管的地方，VulnerableThings平臺(tái)致力于解決所有物聯(lián)網(wǎng)領(lǐng)域的實(shí)際問題?！?/p>

當(dāng)組織采用物聯(lián)網(wǎng)設(shè)備時(shí)，信息技術(shù)(IT)和運(yùn)營技術(shù)(OT)團(tuán)隊(duì)在冠狀病毒疫情期間，并將在家遠(yuǎn)程工作員工的家庭網(wǎng)絡(luò)與智能設(shè)備融合在一起。

451 Research公司高級(jí)研究分析師Johan Vermij說，“由于今年發(fā)生的疫情，很多員工開始在家遠(yuǎn)程工作。在突然之間，他們需要在家采用和管理這些設(shè)施，必須考慮一種新的安全方法將信息技術(shù)(IT)和運(yùn)營技術(shù)(OT)進(jìn)行融合?！?/p>

智能家庭消費(fèi)設(shè)備將這些技術(shù)引入企業(yè)網(wǎng)絡(luò)，而不僅僅是傳統(tǒng)的BYOD策略。許多員工可能在家工作的網(wǎng)絡(luò)中連接亞馬遜Alexa、谷歌助手和智能門鈴或安全設(shè)備。Vermij說，在家遠(yuǎn)程工作帶來了一個(gè)問題，即組織是否必須使用消費(fèi)者物聯(lián)網(wǎng)管理個(gè)人安全網(wǎng)絡(luò)，以及它如何影響員工隱私。

Maxim表示，很多組織已經(jīng)開始考慮可能需要什么樣的策略來管理家庭設(shè)備，列出某些不太安全的品牌，并禁止其員工在家庭網(wǎng)絡(luò)上使用。雖然這將很難實(shí)施，但是IT管理員可能會(huì)使用這些信息來指導(dǎo)有關(guān)智能設(shè)備使用的策略。

Vermij指出，有了針對(duì)消費(fèi)者物聯(lián)網(wǎng)的公共漏洞報(bào)告平臺(tái)，制造商可能會(huì)加快其安全開發(fā)，并將其推廣到企業(yè)產(chǎn)品中。

制造商并不總是優(yōu)先考慮物聯(lián)網(wǎng)產(chǎn)品的安全性，因?yàn)檫@是額外的成本。他們可能會(huì)提供安全功能作為產(chǎn)品的附加功能，但是消費(fèi)者和企業(yè)必須支付額外的費(fèi)用。如果安全成為制造過程中更重要的優(yōu)先事項(xiàng)，那么物聯(lián)網(wǎng)將從中受益。

意識(shí)仍然是一個(gè)安全問題

盡管存在一些網(wǎng)絡(luò)威脅和保護(hù)設(shè)備安全的最佳實(shí)施，但分析師仍將安全意識(shí)視為物聯(lián)網(wǎng)安全的主要風(fēng)險(xiǎn)。

Vermij指出，451 Research公司在今年8月進(jìn)行的調(diào)查發(fā)現(xiàn)，26%的受訪者表示，安全隱患是部署物聯(lián)網(wǎng)項(xiàng)目的最大障礙。

許多組織都在努力保護(hù)他們的各種物聯(lián)網(wǎng)設(shè)備的安全，而且隨著規(guī)模的擴(kuò)大，這些設(shè)備變得更加難以管理。

Vermij說：“組織們確實(shí)需要采用管理風(fēng)險(xiǎn)的工具，但是組織不知道其風(fēng)險(xiǎn)是什么，尤其是那些擁有傳統(tǒng)設(shè)備的組織?！?/p>

他表示，設(shè)備操作人員可能不知道這些傳統(tǒng)設(shè)備在連接網(wǎng)絡(luò)之后會(huì)做些什么。組織還要獲得IT安全專家的幫助。

Vermij補(bǔ)充說，安全性最重要的問題之一是用戶行為。對(duì)于工廠車間的工作人員來說，安全通常是一件麻煩的事，他們會(huì)妨礙他們高效地完成工作。如果工作人員不關(guān)心安全問題并將其視為雇主應(yīng)該關(guān)心的問題，則組織將難以實(shí)施安全策略。

Vermij說：“如果組織可以將安全意識(shí)融入到員工的生活中，并讓他們考慮所購買物品的安全性，那么它也可以增強(qiáng)他們對(duì)辦公室安全性的看法。”

Maxim表示，無論是消費(fèi)者還是企業(yè)，安全和隱私通常是物聯(lián)網(wǎng)設(shè)備部署的最主要關(guān)注點(diǎn)。

采用物聯(lián)網(wǎng)漏洞披露平臺(tái)將會(huì)繼續(xù)突出安全問題，并且隨著物聯(lián)網(wǎng)設(shè)備的增長，很多物聯(lián)網(wǎng)設(shè)備制造商開始優(yōu)先考慮安全措施，并增強(qiáng)用戶的安全意識(shí)。

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需在文章開頭注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

（來源：企業(yè)網(wǎng)D1Net）

責(zé)任編輯：PSY

原文標(biāo)題：物聯(lián)網(wǎng)安全基金會(huì)推出漏洞披露平臺(tái)VulnerableThings

文章出處：【微信公眾號(hào)：物聯(lián)網(wǎng)智慧城市D1net】歡迎添加關(guān)注！文章轉(zhuǎn)載請(qǐng)注明出處。