物联网安全在风险激荡中步履维艰
物联网(IoT)让一切设备更加互联互通,但一项重要的美国政府安全计划却陷入停滞,而威胁行为体正加紧对从医疗设备到打印机等各种设备的攻击。
物联网设备的使用正在爆炸式增长,但设备制造商的网络安全考虑仍然滞后,使企业容易遭受分布式拒绝服务攻击及其他可能导致数据被盗的攻击。虽然已有新举措来遏制这些问题,但进展仍然缓慢。
在本期"记者笔记"视频系列中,两位勇敢的网络安全记者——Dark Reading的Arielle Waldman和Cybersecurity Dive的Eric Geller——详细解析了他们最近关于物联网安全困境以及政府支持的连接设备安全工作的发现。
诸如传感器、家电和智能手表等物联网设备从一开始就不安全,因为它们没有设置接收漏洞补丁和其他重要更新。但考虑到物联网已变得无处不在——从智能办公室照明到先进的医疗设备,再到农业领域的联网拖拉机——这些安全缺陷现在更令人担忧。而且物联网设备的设计初衷是远程控制,因此攻击者越来越擅长入侵它们以实现远程控制。
幸运的是,利益相关者正专注于通过立法、政策和基层努力来支持物联网安全。美国网络安全信任标志(US Cyber Trust Mark)——一项针对物联网设备制造商的自愿标签计划——就是一个主要例子,但由于对其主要管理机构与中国关系的担忧,目前尚不清楚该计划何时或是否会正式颁布。如果获得批准,它将促进物联网安全控制透明度的提高。目前,在企业等待安全措施赶上物联网广泛使用的过程中,有一些自愿性建议可供参考。
相关阅读
- 系统冲击?电动汽车智能充电技术带来网络风险
- Arielle Waldman & Eric Geller:完整视频转录稿
以下转录稿经过编辑以提高清晰度。
Dark Reading的Arielle Waldman:嗨,我是Arielle Waldman,Dark Reading的特写作者,我身边是Eric Geller。你想介绍一下自己吗?
Cybersecurity Dive的Eric Geller:嗨,我是Cybersecurity Dive的高级记者。
DR的Arielle Waldman:今天我们要讨论物联网安全。我们可以从企业面临的物联网安全问题开始。物联网设备天生就不安全。它们不接收漏洞补丁和其他更新。它们的设计寿命也很长,难以管理,而且市面上有很多遗留设备——这也给企业带来了很多问题。
攻击者也越来越擅长入侵物联网设备,他们不再只是部署僵尸网络。他们利用这些设备进入路由器并渗透到企业网络中,这变得越来越令人震惊,也成为大家更关注的问题。
另一方面,还存在制造问题。许多制造商出厂时设置了默认密码,而用户不知道将这些密码改为更安全的选项,这也是个大问题。
就像网络安全中的许多事情一样,很难在安全性和可用性之间取得平衡,这始终是个问题。他们试图减少用户摩擦,但与此同时,有时意味着安全性不足。Eric,你也观察到这一点了吗?
CD的Eric Gellar:当然。这是一个重大的权衡。这些公司希望他们的产品具有吸引力且易于使用,但与此同时,这往往导致对安全性的关注减少,因为他们不想成为使用其产品的障碍。
DR的Arielle Waldman:我认为现在市场上涌现出越来越多的物联网制造商和供应商,他们可能并不总是从过去的错误中吸取教训,也没有从一开始就构建安全性。这一直很重要,但往往没有实现,尤其是在物联网制造商中。
CD的Eric Gellar:实施安全设计确实更容易,但也很昂贵,而且事后修复问题同样昂贵,这就会导致问题。
有效的实践是个大问题,对医疗技术尤其令人担忧。许多医疗物联网设备可能没有设置密码以方便用户使用,但与此同时,这使其非常脆弱,攻击者可以利用这一点。
DR的Arielle Waldman:你注意到有任何立法或新政策出台来帮助改善物联网安全吗?
CD的Eric Gellar:是的。在上届政府末期,FCC启动了一个名为"美国网络安全信任标志"的计划,该计划将允许公司提交其产品,由政府批准的实验室进行测试。如果测试通过,公司可以在其产品上贴上一个标签,基本上表明这是经过美国政府批准的。它遵循某些实践,比如有生命周期结束政策,保证在特定年限内提供更新。
作为消费者,你基本上可以走进商店或登录亚马逊,查看哪些产品带有此认可标志,你可以扫描盒子上的二维码获取信息,例如,我将获得多长时间的软件更新,制造商的补丁应用流程等。其目标是创建一个类似于家电能源之星(Energy Star)的计划,该计划告诉消费者该产品符合政府设定的某些能效标准。
我们将为网络安全构建类似的东西。它尚未启动,因为新政府已开始对负责该计划的公司[主要管理机构UL Solutions]进行调查。在该调查结束之前,在我们弄清楚负责该公司的结果之前,我们不知道该计划何时启动。甚至今年是否会启动,甚至未来几年内是否会启动,真的不清楚,因为我们不知道这次调查会发现什么。但调查是关于据称负责该计划的公司与中国政府之间的联系。
FCC非常担心与中国有联系的公司从事审计和检查电信设备(包括物联网)的工作,因为如果设备内有用于无线通信的无线电天线,就属于FCC的管辖范围。
该计划被认为是在安全物联网产品上贴上美国政府认可标志,并鼓励公司首先构建安全物联网产品的最佳努力。
DR的Arielle Waldman:这真的很重要。正如我们所说,制造商并不总是把安全放在首位,他们确实需要外部压力或力量来激励这一点,并迫使每个人步调一致。目前似乎每个人步调都不一致,如果竞争对手不遵循安全协议,那么其他制造商很可能也不会。
中国问题是否也与SoHo[小型办公室/家庭办公室]路由器有关,中国国家级攻击者[Volt Typhoon]如何在SoHo路由器和物联网设备等设备中被发现。也许这是从中国角度出发的担忧?
CD的Eric Geller:我认为政府真正担心的是这家公司因为在中国有业务而必须向中国移交信息。如果公司拥有关于哪些产品安全、哪些产品不安全的信息,并且如果它被要求向中国提供信息,那可能意味着中国正在获取有关这些正在接受审查的产品的信息。
目前这只是猜测,但这是政府担心的事情。
DR的Arielle Waldman:你认为这通过的可能性有多大?你说已经有一段时间了。调查需要很长时间,而且我相信这项计划的广泛采用需要更长时间。似乎安全进展有点慢。进展有点慢。
CD的Eric Geller:是的。一旦调查结束,如果FCC决定对这家公司继续负责感到满意,我们可能会看到后续步骤快速推进。但好处是,它不必经过国会之类的程序,因为它只是FCC根据自己的权限设立的一个计划。但他们仍然需要完成一系列步骤。他们必须批准概述测试过程期望的测试标准草案——许多类似这样的小型官僚事务。然后,如果调查决定"好吧,我们对这家公司负责感到满意",我们可能会在一年内看到该计划启动。
这是目前的主要障碍。还有其他事情要做,但从逻辑角度来看,它们没有那么雄心勃勃或问题重重。目前只是些文书工作。
DR的Arielle Waldman:那很好。美国或英国还在推动任何其他立法或政策吗?
CD的Eric Geller:嗯,目前在欧洲,我们正准备推出《网络弹性法案》(Cyber Resilience Act),该法案为制造各种连接产品的公司设定了要求,网络安全是其中的一部分。物联网设备将受其覆盖。我们在未来几年应该会看到,在欧洲销售产品的公司满足这些要求,然后回到美国销售同样安全的产品。根据这个FCC计划是否启动,他们可能甚至无法向世界或美国消费者说"嘿,我们的产品是安全的。你应该使用它们。“如果这个FCC计划启动,他们将能够在产品上贴上一个整洁的小标签,这将告诉购买这些产品的企业和消费者,“我应该从这家公司购买。”
如果该计划尚未启动,他们就不能贴上那个标签,那么他们在市场上就没有什么可以与不试图满足这些标准的公司区分开来。展望未来几年,制造商希望表明他们正在做正确的事情,无论是在他们已经必须这样做的欧洲,还是在美国(在美国是自愿的)。
DR的Arielle Waldman:在等待这些新法规生效期间,公司现在可以做什么?
CD的Eric Geller:他们当然可以查看测试标准草案,并确定他们是否能够满足要求。这些并不是奇怪或令人惊讶的要求。这是相当基本的事情,比如能够支持打补丁,能够支持审计基本功能,这些都是你希望任何物联网设备都具备的。负责任的制造商可能已经在与行业协会交谈,甚至可能直接与FCC讨论参与该计划。
我想说的是,那里最大的担忧并不是思科或Avanti或Juniper,尽管他们的产品曾被黑客入侵。更大的担忧是一些较小的亚洲路由器制造商,他们没有那么深入地参与美国关于网络安全的对话,政府非常担心他们不会参与,不会提交产品进行测试。他们甚至可能不知道这个计划。这意味着,如果你购买最便宜的路由器,你最终可能会从这些美国以外的公司购买,这些公司没有同样参与美国正在创建的一些网络安全计划。
如果发生这种情况,这些公司可能不会按照我们希望的方式改进其网络安全,而从这些公司购买的企业将像以前一样暴露在风险之中。
DR的Arielle Waldman:让每个人都步调一致总是很困难。开始讨论很重要,但采取行动需要更长的时间。在此期间,企业可以做些什么吗?我知道身份验证很重要,更改那些默认密码。你还有其他推荐吗?
CD的Eric Geller:嗯,如今重要的是关注所有与身份相关的事情。所以,更改密码,限制用户访问,确保你开启了警报。如果你看到可疑行为,我相信任何观看此视频的企业都会知道他们的供应商正在推动人工智能(AI)作为自动检测可疑行为的一种方式,值得研究这些解决方案是否适合任何特定业务。它们并不总是适合任何特定公司,但有时它们可以加速发现异常活动的过程,而有时异常活动就是黑客攻击,所以你确实想意识到这些东西。
DR的Arielle Waldman:是的,监控是有道理的。我知道对中小型企业来说更难,但如今这很重要。
今天我们就这样了。谢谢你和我讨论物联网安全,Eric。