不注重设备安全性就别做IoT生意！

物联网(IoT)设备被黑客入侵导致数据被窃取、控制权被夺取等的案件层出不穷，包括Google与Samsung的Android平台相机应用程序，还有亚马逊(Amazon)旗下的Ring品牌家用保全摄影机，都曾经被“劫持”、用来窥探使用者。

根据市场研究机构Omdia (前身为IHS Markit的科技市场研究部门)估计，2020年全世界的物联网设备安装量将达到350亿台；该机构企业研究部门副总裁Bill Morelli在接受《EE Times》采访的电子邮件中表示，这意味着有350亿个让黑客威胁安全性的机会。“因此，网络安全已经成为全球各个企业组织的第一优先，”他指出：“全球网络安全相关支出预计在2023年，从2019年的600亿美元激增至1,570亿美元。”

每一个消费性物联网设备的安全漏洞，都可能导致数百万使用者的安全性与隐私权威胁；而且很多连网消费性产品的安全漏洞都不是被制造商发现的，反而是外部的网络安全专家，或是所谓的“白帽”(white-hat)黑客(EETT编按：就是没有犯罪恶意的善良黑客)。

这也是为什么安全漏洞通报(vulnerability reporting)被广泛认为是对物联网设备安全性的基本要求；所以难道制造商不该基于这个理由，尽一切可能来征求这类的发现，以快速找到漏洞所在并进行修补？可惜事实显然并非如此。

下周三（5月20日），EE直播间将进行以”万物智联，安全为先！物联网安全应用的MCU设计挑战和解决方案“为主题的直播，欢迎届时来观看，点击此处即可免费报名。

安全漏洞通报仍是一个新观念

产业组织“物联网安全性基金会”(IoT Security Foundation，IoTSF)的最新报告指出，有超过86%的消费性物联网设备制造商没有安全漏洞通报措施，政府主管机关短期内并没有相关强制要求的立法规划，当然也没有订定中的相关国际标准。

这是该基金会第二次发行的年报，调查了全球共330家消费性物联网制造商；它们的产品从摄影机到洗衣机都有，其中最大的两个产品类别，是智能家用照明以及智慧家用保全。而就像报告中所写：“有些讽刺的是，智慧家用保全(smart home security)产品类别中的37家厂商，只有3家(占据该类别8%比例)明显拥有安全漏洞通报措施。”

整体看来，具备安全漏洞通报措施的业者比例，从9.7%增加到了13.3%；除了少数例外，那些业者大部分是消费性品牌大厂，像是Amazon、Apple、FitBit、Dyson、Garmin、Google、HP、HTC、Huawei、Lenovo、LG、Motorola、Samsung、Siemens、Signify与Sony等公司。

对此IoTSF管理总监John Moor接受《EE Times》访问时指出：“我们虽然还没有针对该比例这么低的原因进行正式研究，但我认为首先是业者缺乏认知，因为很多公司都是才刚进入连网嵌入式系统领域；其次，也最重要的是，这个问题没有责任归属，因为没有相关法规，所以有些公司根本不想自找麻烦。”

但是，这其实花不了什么成本，最简单的安全漏洞通报系统只需要建立一个网页。业者缺乏认知是最大的问题；Moor表示，连网嵌入式设备的激增，“正剧烈改变电子设计以及对现场支持的要求。”他指出，为那些在传统上与外界隔绝的嵌入式设备添加链接性与软件功能，大大增加了系统以及它们链接对象之攻击面(attack surface)。

一直到最近，安全漏洞通报程序都不是电子工程师或是他们的主管非常在意的事情，但这对于物联网设备来说是基本安全性要求。但就算是IoTSF调查中那44家拥有安全漏洞通报措施的公司，其通报程序也是五花八门而且复杂。

IoTSF报告显示，超过三分之一的业者并没有设置通报时程以取得最佳效果，其中只有4家订定了90天的修正安全性问题期限。在这44家厂商中只有不到一半提供某种形式的错误通报奖励──给予金钱上的奖励，能让白帽黑客们更愿意将发现到的安全漏洞通报业者，而不是将之出售到“黑市”。

一项针对全球消费性物联网设备制造商的最新年度调查显示，拥有安全漏洞通报措施的业者比例，只比去年增加一点点。

(图片来源：IoT Security Foundation)

“安全漏洞通报至关重要，”Moor强调：“如果你有一个能让任何人──包括客户、使用者、研究人员、白帽黑客──提供通报的管道，你就拥有了能及时修正问题的情报系统。”

即将订定的标准将带来强制规范

美国国土安全部(U.S. Department of Homeland Security)已经提出保护物联网设备安全的建议，美国国家标准暨技术研究院(NIST)也公布了一份“给物联网设备制造商的建议”；IoTSF则为物联网设备开发者们提供“安全设计最佳实例指南”。

包括欧洲电信标准协会(European Telecommunications Standards Institute，ESTI)等，则提案订定国际性的物联网安全标准；还有英国最近宣布将订定物联网安全法，将安全漏洞通报列为强制性规范。澳洲政府也有相关的行为准则提案。

“虽然那些标准提案不尽相同，基本上都在描述相同的事情；”Moor表示，目前实际可用的安全漏洞处理程序标准是ISO/IEC 30111，2014与2015年的版本已经免费公开，但2019年版则受版权保护：“这会带来虽然低但是值得注意的一个门坎。”

ETSI订定的标准预计今年夏天出炉，是以英国的消费性物联网安全性准则(UK Code of Practice for Consumer IoT Security)以及该准则的最低要求为基础，包括变更默认密码、设置安全漏洞通报措施，以及持续进行软件安全性更新等。

根据全球性调查，拥有符合即将出炉标准或法规之安全漏洞通报措施的欧洲业者比例，低于北美与亚洲的业者。

(图片来源：IoT Security Foundation)

ETSI标准与英国法规的整体目标，是为物联网设备的网络安全性建立基线；相关标准的研究人员从消费性等级设备起步，是因为这些产品的成本最低，安全性要求也没有像医疗、汽车、国营事业基础设施等应用那么高。

“如果连网设备制造商没有安全漏洞通报措施，它们根本不应该做连网设备生意；“Moor措词强硬地表示：“这对产业的成功以及终端使用者的安全至关重要，而且他们迟早得要有，因为强制性法规马上就要出现了。”

下周三（5月20日），EE直播间将进行以”万物智联，安全为先！物联网安全应用的MCU设计挑战和解决方案“为主题的直播，欢迎届时来观看，点击此处即可免费报名。

编译：Judith Cheng  责编：Yvonne Geng

(参考原文：IoT Device Vendors: Why Resist Vulnerability Reporting?，by Ann R. Thryft)