為什么物聯(lián)網(wǎng)漏洞平臺對組織很重要？

隨著越來越多的人在家遠(yuǎn)程工作，將會面臨更多的網(wǎng)絡(luò)攻擊。物聯(lián)網(wǎng)披露漏洞平臺將會加強(qiáng)消費(fèi)者和企業(yè)物聯(lián)網(wǎng)的安全意識，并協(xié)助物聯(lián)網(wǎng)制造商制定相關(guān)法規(guī)。

由英國主導(dǎo)成立的物聯(lián)網(wǎng)安全基金會(IoTSF)于今年10月宣布，推出了針對消費(fèi)者物聯(lián)網(wǎng)的漏洞披露平臺VulnerableThings。該平臺為物聯(lián)網(wǎng)供應(yīng)商制定相關(guān)安全法規(guī)做好了準(zhǔn)備，并為安全研究人員提供了一種報告漏洞的簡便方法。

很多組織使用了可用的漏洞披露報告流程和資源，例如Mitre常見漏洞和披露程序或NIST國家漏洞數(shù)據(jù)庫。物聯(lián)網(wǎng)安全基金會旨在簡化研究人員和供應(yīng)商必須克服的困難。該平臺為物聯(lián)網(wǎng)制造商提供策略模板，并提示其解決消費(fèi)者物聯(lián)網(wǎng)的漏洞并符合行業(yè)標(biāo)準(zhǔn)。安全研究人員可以提交漏洞，并跟蹤制造商解決漏洞的進(jìn)度。

調(diào)研機(jī)構(gòu)Forrester Research公司副總裁兼研究主管Merritt Maxim說，“組織需要在任何時候公開披露漏洞，最終會創(chuàng)建一個越來越強(qiáng)大的安全模型。這個平臺需要一定的時間才能被接受和使用，而這些披露也需要時間才能得到報告。這不是一蹴而就的解決方案，但卻是朝著正確方向邁出的一步?！?/p>

漏洞管理是公認(rèn)的基本安全實(shí)踐。物聯(lián)網(wǎng)行業(yè)成員(其中包括董事會成員、供應(yīng)鏈經(jīng)理和產(chǎn)品安全人員)都必須了解協(xié)調(diào)一致的漏洞披露方法以保護(hù)其產(chǎn)品。

物聯(lián)網(wǎng)安全基金會常務(wù)董事John Moor在一封電子郵件中寫道，“無論組織是否選擇VulnerableThings獲得幫助，需要確保其有報告漏洞的渠道以及解決問題的適當(dāng)流程。這對于保護(hù)組織的業(yè)務(wù)、客戶和更廣泛的物聯(lián)網(wǎng)生態(tài)系統(tǒng)免受攻擊是必要的?！?/p>

為什么物聯(lián)網(wǎng)漏洞平臺對組織很重要

VulnerableThings平臺專注于披露消費(fèi)者物聯(lián)網(wǎng)的漏洞，但物聯(lián)網(wǎng)整體趨勢使物聯(lián)網(wǎng)產(chǎn)品安全成為組織日益關(guān)注的問題。

Moor說，“物聯(lián)網(wǎng)安全基金會最初以消費(fèi)物聯(lián)網(wǎng)部門為目標(biāo)，因?yàn)檫@是需要進(jìn)行監(jiān)管的地方，VulnerableThings平臺致力于解決所有物聯(lián)網(wǎng)領(lǐng)域的實(shí)際問題。”

當(dāng)組織采用物聯(lián)網(wǎng)設(shè)備時，信息技術(shù)(IT)和運(yùn)營技術(shù)(OT)團(tuán)隊(duì)在冠狀病毒疫情期間，并將在家遠(yuǎn)程工作員工的家庭網(wǎng)絡(luò)與智能設(shè)備融合在一起。

451 Research公司高級研究分析師Johan Vermij說，“由于今年發(fā)生的疫情，很多員工開始在家遠(yuǎn)程工作。在突然之間，他們需要在家采用和管理這些設(shè)施，必須考慮一種新的安全方法將信息技術(shù)(IT)和運(yùn)營技術(shù)(OT)進(jìn)行融合。”

智能家庭消費(fèi)設(shè)備將這些技術(shù)引入企業(yè)網(wǎng)絡(luò)，而不僅僅是傳統(tǒng)的BYOD策略。許多員工可能在家工作的網(wǎng)絡(luò)中連接亞馬遜Alexa、谷歌助手和智能門鈴或安全設(shè)備。Vermij說，在家遠(yuǎn)程工作帶來了一個問題，即組織是否必須使用消費(fèi)者物聯(lián)網(wǎng)管理個人安全網(wǎng)絡(luò)，以及它如何影響員工隱私。

Maxim表示，很多組織已經(jīng)開始考慮可能需要什么樣的策略來管理家庭設(shè)備，列出某些不太安全的品牌，并禁止其員工在家庭網(wǎng)絡(luò)上使用。雖然這將很難實(shí)施，但是IT管理員可能會使用這些信息來指導(dǎo)有關(guān)智能設(shè)備使用的策略。

Vermij指出，有了針對消費(fèi)者物聯(lián)網(wǎng)的公共漏洞報告平臺，制造商可能會加快其安全開發(fā)，并將其推廣到企業(yè)產(chǎn)品中。

制造商并不總是優(yōu)先考慮物聯(lián)網(wǎng)產(chǎn)品的安全性，因?yàn)檫@是額外的成本。他們可能會提供安全功能作為產(chǎn)品的附加功能，但是消費(fèi)者和企業(yè)必須支付額外的費(fèi)用。如果安全成為制造過程中更重要的優(yōu)先事項(xiàng)，那么物聯(lián)網(wǎng)將從中受益。

意識仍然是一個安全問題

盡管存在一些網(wǎng)絡(luò)威脅和保護(hù)設(shè)備安全的最佳實(shí)施，但分析師仍將安全意識視為物聯(lián)網(wǎng)安全的主要風(fēng)險。

Vermij指出，451 Research公司在今年8月進(jìn)行的調(diào)查發(fā)現(xiàn)，26%的受訪者表示，安全隱患是部署物聯(lián)網(wǎng)項(xiàng)目的最大障礙。

許多組織都在努力保護(hù)他們的各種物聯(lián)網(wǎng)設(shè)備的安全，而且隨著規(guī)模的擴(kuò)大，這些設(shè)備變得更加難以管理。

Vermij說：“組織們確實(shí)需要采用管理風(fēng)險的工具，但是組織不知道其風(fēng)險是什么，尤其是那些擁有傳統(tǒng)設(shè)備的組織?！?/p>

他表示，設(shè)備操作人員可能不知道這些傳統(tǒng)設(shè)備在連接網(wǎng)絡(luò)之后會做些什么。組織還要獲得IT安全專家的幫助。

Vermij補(bǔ)充說，安全性最重要的問題之一是用戶行為。對于工廠車間的工作人員來說，安全通常是一件麻煩的事，他們會妨礙他們高效地完成工作。如果工作人員不關(guān)心安全問題并將其視為雇主應(yīng)該關(guān)心的問題，則組織將難以實(shí)施安全策略。

Vermij說：“如果組織可以將安全意識融入到員工的生活中，并讓他們考慮所購買物品的安全性，那么它也可以增強(qiáng)他們對辦公室安全性的看法?！?/p>

Maxim表示，無論是消費(fèi)者還是企業(yè)，安全和隱私通常是物聯(lián)網(wǎng)設(shè)備部署的最主要關(guān)注點(diǎn)。

采用物聯(lián)網(wǎng)漏洞披露平臺將會繼續(xù)突出安全問題，并且隨著物聯(lián)網(wǎng)設(shè)備的增長，很多物聯(lián)網(wǎng)設(shè)備制造商開始優(yōu)先考慮安全措施，并增強(qiáng)用戶的安全意識。

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需在文章開頭注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

（來源：企業(yè)網(wǎng)D1Net）

責(zé)任編輯：PSY

原文標(biāo)題：物聯(lián)網(wǎng)安全基金會推出漏洞披露平臺VulnerableThings

文章出處：【微信公眾號：物聯(lián)網(wǎng)智慧城市D1net】歡迎添加關(guān)注！文章轉(zhuǎn)載請注明出處。