信息化觀察網(wǎng)

本文來自微信公眾號(hào)“數(shù)世咨詢”，作者/nana。

雖然官方尚未公布實(shí)施細(xì)則，但美國政府牽頭的智能設(shè)備安全標(biāo)識(shí)計(jì)劃將于2023年引入。從家用路由器到智能攝像頭，各種聯(lián)網(wǎng)設(shè)備將獲得類似家電所用“能源之星”（Energy Star）標(biāo)簽的網(wǎng)絡(luò)安全標(biāo)識(shí)。

問題在于：標(biāo)識(shí)真的能幫助解決智能設(shè)備相關(guān)物聯(lián)網(wǎng)安全挑戰(zhàn)嗎？一些人將此物聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)識(shí)計(jì)劃與食品必須標(biāo)注“營養(yǎng)成分”相提并論，但似乎并不能使人多欣喜幾分。垃圾食品和高糖食品的營養(yǎng)信息并沒有阻止人們消費(fèi)不健康產(chǎn)品。

美國政府這一設(shè)備標(biāo)識(shí)計(jì)劃會(huì)出現(xiàn)同樣的情況嗎？網(wǎng)絡(luò)安全標(biāo)識(shí)能夠驅(qū)動(dòng)消費(fèi)者購買安全性好的設(shè)備？還是說，消費(fèi)者仍會(huì)依然故我，延續(xù)以往根據(jù)產(chǎn)品可用性和價(jià)格挑東西的消費(fèi)習(xí)慣？

想要更加直觀地回答上述問題，我們就得討論智能設(shè)備和物聯(lián)網(wǎng)安全挑戰(zhàn)，并闡述網(wǎng)絡(luò)安全標(biāo)識(shí)計(jì)劃預(yù)期的種種好處。

挑戰(zhàn)1：缺乏可見性

物聯(lián)網(wǎng)產(chǎn)品制造商往往并未設(shè)置任何系統(tǒng)來監(jiān)測(cè)其產(chǎn)品。一旦設(shè)備流入客戶手中，他們就不再費(fèi)心檢查自家產(chǎn)品是否需要安全更新或補(bǔ)丁來修復(fù)故障和安全漏洞。他們沒有跟蹤產(chǎn)品變更或活動(dòng)歷史的系統(tǒng)，無法借此確定問題根源并提供必要的修復(fù)。

制造商缺乏對(duì)產(chǎn)品的可見性意味著，這些物聯(lián)網(wǎng)產(chǎn)品不太可能安全。這是審查特定智能設(shè)備網(wǎng)絡(luò)威脅準(zhǔn)備度時(shí)應(yīng)該納入考量的一項(xiàng)重要事實(shí)，而美國政府提出的物聯(lián)網(wǎng)標(biāo)識(shí)計(jì)劃能夠反映出這一事實(shí)。

挑戰(zhàn)2：被動(dòng)應(yīng)對(duì)零日威脅

絕大多數(shù)物聯(lián)網(wǎng)設(shè)備和智能設(shè)備制造商都沒在自己的產(chǎn)品安全策略中考慮到零日威脅。他們應(yīng)對(duì)威脅的唯一解決方案基本都是被動(dòng)打上安全補(bǔ)丁，而這種方法對(duì)零日威脅是無效的。開發(fā)并發(fā)布安全補(bǔ)丁來堵上新發(fā)現(xiàn)的漏洞需要時(shí)間。設(shè)備擁有者應(yīng)用補(bǔ)丁所需的時(shí)間甚至更長(zhǎng)。

在安裝上安全補(bǔ)丁之前，惡意攻擊者就很可能已經(jīng)成功利用未修復(fù)的漏洞，造成了本可避免的破壞。物聯(lián)網(wǎng)設(shè)備制造商需考慮一改被動(dòng)方式而采用主動(dòng)式網(wǎng)絡(luò)安全解決方案。可參考的主動(dòng)網(wǎng)絡(luò)安全解決方案有簡(jiǎn)化網(wǎng)絡(luò)訪問控制（NAC）、Web應(yīng)用防火墻（WAF）和擴(kuò)展檢測(cè)與響應(yīng)（XDR）等。

然而，這并不是說就不再需要安全修復(fù)。打補(bǔ)丁仍是保護(hù)智能設(shè)備安全的重要部分，但必須要有能夠應(yīng)對(duì)零日漏洞或新興未知威脅的其他辦法。

物聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)識(shí)可指示特定物聯(lián)網(wǎng)設(shè)備或智能工具是否具備針對(duì)零日威脅的主動(dòng)安全措施。監(jiān)管機(jī)構(gòu)有義務(wù)審查設(shè)備中的防護(hù)系統(tǒng)或其與企業(yè)所用主動(dòng)網(wǎng)絡(luò)防御解決方案集成的能力。

挑戰(zhàn)3：開源和第三方漏洞暴露

很多物聯(lián)網(wǎng)設(shè)備制造商都不是從零開始開發(fā)自己的固件或設(shè)備中安裝的基礎(chǔ)軟件。低成本電子零售業(yè)廣為使用的量產(chǎn)通用設(shè)備就更是如此了。這些不知名的品牌或通用設(shè)備依靠開源軟件庫或第三方軟件庫執(zhí)行身份驗(yàn)證、通信、加密和其他基本功能。

有報(bào)告稱，約84%的代碼庫中含有包含已知安全漏洞的組件。這一數(shù)字應(yīng)可警醒那些出于各種目的而采用廉價(jià)物聯(lián)網(wǎng)設(shè)備和智能設(shè)備的人。物聯(lián)網(wǎng)設(shè)備所遭大量“成功”網(wǎng)絡(luò)攻擊都可歸咎到開源軟件和第三方軟件庫上。正是這些開源軟件和第三方軟件庫使得網(wǎng)絡(luò)攻擊更加容易了，因?yàn)榫W(wǎng)絡(luò)罪犯只需要知道目標(biāo)組織采用哪種特定設(shè)備，就能得出針對(duì)該企業(yè)或機(jī)構(gòu)的有效攻擊策略。

物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全標(biāo)識(shí)能夠提示潛在智能設(shè)備買家其擬購產(chǎn)品中可能存在的安全漏洞或軟件缺陷，幫助避免開源和第三方軟件庫所引發(fā)的安全問題。監(jiān)管機(jī)構(gòu)可全面監(jiān)測(cè)所有開源和第三方軟件安全漏洞，提供并不斷更新這方面的指南。

挑戰(zhàn)4：性能壓過安全

物聯(lián)網(wǎng)設(shè)備天生資源有限，尤其在CPU、RAM和ROM方面。因此，物聯(lián)網(wǎng)設(shè)備無法封裝常為資源密集型的高級(jí)安全軟件工具。物聯(lián)網(wǎng)產(chǎn)品的種種限制導(dǎo)致難以整合安全和性能。

很多物聯(lián)網(wǎng)設(shè)備制造商承認(rèn)有意減省安全功能以確保設(shè)備能運(yùn)行得相對(duì)順暢。這就導(dǎo)致物聯(lián)網(wǎng)設(shè)備中存在各種漏洞，令設(shè)備更難以抵御攻擊，尤其是復(fù)雜的攻擊戰(zhàn)術(shù)。

美國這個(gè)計(jì)劃中將要成立的非營利/非政府組織旨在監(jiān)管美國網(wǎng)絡(luò)安全認(rèn)證和標(biāo)識(shí)事宜，可評(píng)估設(shè)備，確定其網(wǎng)絡(luò)安全準(zhǔn)備度。網(wǎng)絡(luò)安全標(biāo)識(shí)和標(biāo)識(shí)上的總體評(píng)分/等級(jí)將會(huì)反映出很多安全狀況。

挑戰(zhàn)5：過時(shí)安全工具和方法

一些智能設(shè)備制造商表現(xiàn)出了保護(hù)自身設(shè)備安全的意愿。然而，他們安裝的工具或采用的措施可能不再適用于當(dāng)前威脅形勢(shì)。他們可能在用過時(shí)的靜態(tài)分析和漏洞發(fā)現(xiàn)解決方案，于改進(jìn)產(chǎn)品安全毫無幫助。還有些制造商采用邊界防御和網(wǎng)絡(luò)分隔解決方案，但此類方案在檢測(cè)和阻止物聯(lián)網(wǎng)設(shè)備攻擊方面出了名的功能有限。

這些事實(shí)都需要在擬議物聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)識(shí)計(jì)劃中加以體現(xiàn)，從而鼓勵(lì)設(shè)備制造商更新其所用的安全解決方案。如果制造商拒絕更新安全功能，客戶就會(huì)知道若接入此類設(shè)備將可致自己的IT資產(chǎn)或資源面臨網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

是指南，不是萬靈丹

網(wǎng)絡(luò)安全標(biāo)識(shí)系統(tǒng)就足以解決物聯(lián)網(wǎng)和聯(lián)網(wǎng)智能設(shè)備面臨的挑戰(zhàn)了嗎？這套系統(tǒng)肯定有所幫助，但不會(huì)是能畢全功的解決方案。從來沒有，也不會(huì)有完美無缺的解決方案。不過，標(biāo)識(shí)能指導(dǎo)客戶做出明智的選擇。如果客戶仍然選擇網(wǎng)絡(luò)安全評(píng)級(jí)/分?jǐn)?shù)較低且標(biāo)有各類警告的設(shè)備，風(fēng)險(xiǎn)就由他們自己承擔(dān)。

盡管如此，權(quán)威機(jī)構(gòu)可能會(huì)用標(biāo)識(shí)為某些情形下可用的設(shè)備設(shè)置網(wǎng)絡(luò)安全級(jí)別可接受度閾值。這么做，他們就能巧妙執(zhí)行在企業(yè)和政府辦公場(chǎng)所僅使用經(jīng)驗(yàn)證安全設(shè)備的策略了。