IoT厂商漏洞披露计划进展缓慢遭批评

John Leyden
2023年1月24日 13:22 UTC
更新：2023年1月24日 13:30 UTC

VDP | IoT | 政策与立法

安全专家警告称，制造商的自满情绪“转化为对消费者不可接受的风险”。IoT厂商在方便安全研究人员报告安全漏洞方面进展缓慢，仅有27.1%的供应商提供漏洞披露政策。

这一数据基于IoT安全基金会（IoTSF）的最新年度报告，相比2018年同一研究中仅有9.7%的IoT（物联网）厂商拥有披露政策的情况有所改善。

背景
IoT安全基金会为智能设备厂商推出漏洞披露平台

漏洞管理本应是联网产品安全的基石，在包括IoTSF的IoT安全保证框架在内的30项网络安全指导倡议中得到广泛推荐。直接报告安全问题对于安全生命周期维护至关重要，厂商如果忽视最佳实践要求，可能违反英国新颁布的法规。

英国《产品安全与电信基础设施法》（于2022年12月初成为法律）要求IoT制造商、进口商和分销商提供漏洞披露政策，违反此规定的供应商可能面临潜在制裁，最严重情况下每天罚款高达20,000英镑。

了解最新漏洞披露政策新闻

IoTSF的最新研究基于对332家销售面向消费者的IoT产品的公司的实践审查。该审查由移动和IoT安全咨询公司Copper Horse进行，涵盖了与一系列产品相关的安全实践，从平板电脑和路由器到智能家居照明控制和智能扬声器。

亚洲的厂商在建立漏洞披露计划方面往往更胜一筹，而欧洲供应商明显落后（分别为34.7%和14.5%）。

HackerOne安全工程高级经理Laurie Mercer表示：“通过漏洞披露政策（VDP）了解产品和服务中的安全漏洞，是识别和纠正它们作为产品安全生命周期一部分的重要方式。这是一种最佳实践，客户越来越希望供应商采用，但这项研究表明它尚未成为普遍做法。”

加强监管
全球立法者正在寻求引入法规，以推动IoT厂商使其产品更加安全。例如，美国立法者制定了《IoT网络安全改进法》（2020年）。欧洲网络弹性法案草案也涵盖了类似领域。

Copper Horse首席执行官David Rogers告诉The Daily Swig：“趋势是强制要求——这让你再次思考，为什么公司没有意识到这一点？迹象已经很明显！” Rogers补充道：“即使面临即将立法的威胁，制造商的自满情绪在IoT设备安全方面转化为对消费者不可接受的风险。”

在研究过程中，研究人员发现使用“/security”联系页面的情况增加，使用机器可读的“security.txt”文件的情况增加，而PGP密钥用于安全提交的使用略有下降。其他发现的趋势包括更新政策的厂商数量增加，以及使用第三方“代理服务”托管和维护政策的公司数量增加。

最佳实践
然而，并非全是悲观消息，报告确实强调了一些厂商的良好实践示例。

Rogers解释说：“一些公司和行业开始以更好的方式行动——汽车行业有一些例子，比如大众集团，它们以积极的方式彻底改变了方法。我认为这些公司可以为同行树立好榜样，展示如何与安全研究社区合作，而不需要所有的边缘政策。”

厂商最好制定安全港政策，这是一个法律框架，允许道德黑客寻找系统中的缺陷，而不面临法律威胁或潜在起诉。例如，LG为其IoT产品实施了安全港政策。

更广泛地看，IoTSF报告基于Copper Horse安全研究人员对其政策的审查，表彰了34家“达到或超过立法要求”的厂商。列出的公司包括博世、英国电信、佳能、华为、LG、罗技、微软、Peloton、三星和Wink。

您可能还喜欢
WAGO修复配置导出漏洞，防止工业设备数据泄露

VDP | IoT | 政策与立法 | 黑客新闻 | 行业新闻 | 漏洞 | 安全开发 | 云安全 | 核心

John Leyden
@jleyden

本页面需要JavaScript以增强用户体验。

最新帖子