物联网厂商漏洞披露计划进展缓慢遭批评

John Leyden
2023年1月24日 13:22 UTC
更新：2023年1月24日 13:30 UTC

VDP | 物联网 | 政策与立法

安全专家警告称，制造商的自满情绪“转化为对消费者不可接受的风险”。物联网厂商在方便安全研究人员报告安全漏洞方面进展缓慢，仅有27.1%的供应商提供漏洞披露政策。

这一数据基于物联网安全基金会（IoTSF）的最新年度报告，相比2018年同一研究中仅有9.7%的物联网厂商拥有披露政策的情况有所改善。

漏洞管理本应成为联网产品安全的基石，被广泛推荐纳入30项网络安全指导倡议，包括IoTSF的物联网安全保障框架。

安全问题的直接报告对于安全生命周期维护至关重要，厂商如果忽视最佳实践要求，可能违反英国新颁布的法规。英国《产品安全与电信基础设施法》于2022年12月初成为法律，要求物联网制造商、进口商和分销商提供漏洞披露政策，违反规定的供应商可能面临处罚，最严重情况下每天罚款高达2万英镑。

IoTSF的最新研究基于对332家销售消费级物联网产品的公司的实践审查。该审查由移动和物联网安全咨询公司Copper Horse进行，涵盖了与一系列产品相关的安全实践，从平板电脑和路由器到智能家居照明控制和智能音箱。

亚洲厂商在建立漏洞披露计划方面表现较好，欧洲供应商显著落后（分别为34.7%和14.5%）。

HackerOne安全工程高级经理Laurie Mercer表示：“通过漏洞披露政策（VDP）了解产品和服务中的安全漏洞，是识别和纠正它们作为产品安全生命周期的重要组成部分的重要方式。这是一种最佳实践，客户越来越希望供应商采用，但这项研究表明它尚未成为普遍做法。”

全球立法者正在寻求引入法规，以推动物联网厂商使其产品更加安全。例如，美国立法者制定了《物联网网络安全改进法案》（2020年）。欧洲网络弹性法案草案也涵盖了类似内容。

Copper Horse首席执行官David Rogers告诉The Daily Swig：“趋势是强制要求——这让你再次想知道，为什么公司没有意识到这一点？迹象已经很明显！” Rogers补充道：“即使面临即将立法的威胁，制造商的自满情绪也转化为对消费者在物联网设备安全方面不可接受的风险。”

在研究过程中，研究人员发现使用“/security”联系页面的情况增加，使用机器可读的“security.txt”文件的情况增加，而PGP密钥用于安全提交的使用略有下降。

其他发现的趋势包括更新政策的厂商数量增加，以及使用第三方“代理服务”托管和维护政策的公司数量增加。

然而，并非全是悲观消息，报告确实强调了一些厂商的良好实践示例。

Rogers解释说：“一些公司和行业开始以更好的方式行动——汽车行业有一些例子，比如大众集团，它们以积极的方式完全改变了方法。我认为这些公司可以为同行树立良好榜样，表明你可以与安全研究社区合作，而不需要所有的边缘政策。”

厂商最好制定安全港政策，这是一个法律框架，允许道德黑客寻找系统中的缺陷，而不面临法律威胁或潜在起诉。例如，LG为其物联网产品制定了安全港政策。

更广泛地说，IoTSF报告表彰了34家厂商，基于Copper Horse安全研究人员对其政策的审查，这些厂商“达到或超过立法要求”。列出的公司包括博世、英国电信、佳能、华为、LG、罗技、微软、Peloton、三星和Wink。

您可能还喜欢
WAGO修复配置导出缺陷，防止工业设备数据泄露

标签：VDP, 物联网, 政策与立法, 黑客新闻, 行业新闻, 漏洞, 安全开发, 云安全, 核心