不注重裝置安全性就別做IoT生意!

作者 : Ann R. Thryft,EE Times特約作者

2020年全世界的物聯網裝置安裝量將達到350億台,這意味著有350億個讓駭客威脅安全性的機會。

物聯網(IoT)裝置被駭客入侵導致資料被竊取、控制權被奪取等的案件層出不窮,包括Google與Samsung的Android平台相機應用程式,還有亞馬遜(Amazon)旗下的Ring品牌家用保全攝影機,都曾經被「劫持」、用來窺探使用者。

根據市場研究機構Omdia (前身為IHS Markit的科技市場研究部門)估計,2020年全世界的物聯網裝置安裝量將達到350億台;該機構企業研究部門副總裁Bill Morelli在接受《EE Times》採訪的電子郵件中表示,這意味著有350億個讓駭客威脅安全性的機會。「因此,網路安全已經成為全球各個企業組織的第一優先,」他指出:「全球網路安全相關支出預計在2023年,從2019年的600億美元激增至1,570億美元。」

每一個消費性物聯網裝置的安全漏洞,都可能導致數百萬使用者的安全性與隱私權威脅;而且很多連網消費性產品的安全漏洞都不是被製造商發現的,反而是外部的網路安全專家,或是所謂的「白帽」(white-hat)駭客(EETT編按:就是沒有犯罪惡意的善良駭客)。

這也是為什麼安全漏洞通報(vulnerability reporting)被廣泛認為是對物聯網裝置安全性的基本要求;所以難道製造商不該基於這個理由,盡一切可能來徵求這類的發現,以快速找到漏洞所在並進行修補?可惜事實顯然並非如此。

安全漏洞通報仍是一個新觀念

產業組織「物聯網安全性基金會」(IoT Security Foundation,IoTSF)的最新報告指出,有超過86%的消費性物聯網裝置製造商沒有安全漏洞通報措施,政府主管機關短期內並沒有相關強制要求的立法規劃,當然也沒有訂定中的相關國際標準。

這是該基金會第二次發行的年報,調查了全球共330家消費性物聯網製造商;它們的產品從攝影機到洗衣機都有,其中最大的兩個產品類別,是智慧家用照明以及智慧家用保全。而就像報告中所寫:「有些諷刺的是,智慧家用保全(smart home security)產品類別中的37家廠商,只有3家(佔據該類別8%比例)明顯擁有安全漏洞通報措施。」

整體看來,具備安全漏洞通報措施的業者比例,從9.7%增加到了13.3%;除了少數例外,那些業者大部分是消費性品牌大廠,像是Amazon、Apple、FitBit、Dyson、Garmin、Google、HP、HTC、Huawei、Lenovo、LG、Motorola、Samsung、Siemens、Signify與Sony等公司。

對此IoTSF管理總監John Moor接受《EE Times》訪問時指出:「我們雖然還沒有針對該比例這麼低的原因進行正式研究,但我認為首先是業者缺乏認知,因為很多公司都是才剛進入連網嵌入式系統領域;其次,也最重要的是,這個問題沒有責任歸屬,因為沒有相關法規,所以有些公司根本不想自找麻煩。」

但是,這其實花不了什麼成本,最簡單的安全漏洞通報系統只需要建立一個網頁。業者缺乏認知是最大的問題;Moor表示,連網嵌入式裝置的激增,「正劇烈改變電子設計以及對現場支援的要求。」他指出,為那些在傳統上與外界隔絕的嵌入式裝置添加連結性與軟體功能,大大增加了系統以及它們連結對象之攻擊面(attack surface)。

一直到最近,安全漏洞通報程序都不是電子工程師或是他們的主管非常在意的事情,但這對於物聯網裝置來說是基本安全性要求。但就算是IoTSF調查中那44家擁有安全漏洞通報措施的公司,其通報程序也是五花八門而且複雜。

IoTSF報告顯示,超過三分之一的業者並沒有設置通報時程以取得最佳效果,其中只有4家訂定了90天的修正安全性問題期限。在這44家廠商中只有不到一半提供某種形式的錯誤通報獎勵──給予金錢上的獎勵,能讓白帽駭客們更願意將發現到的安全漏洞通報業者,而不是將之出售到「黑市」。

 

一項針對全球消費性物聯網裝置製造商的最新年度調查顯示,擁有安全漏洞通報措施的業者比例,只比去年增加一點點。

(圖片來源:IoT Security Foundation)

 

「安全性漏洞通報至關重要,」Moor強調:「如果你有一個能讓任何人──包括客戶、使用者、研究人員、白帽駭客──提供通報的管道,你就擁有了能及時修正問題的情報系統。」

即將訂定的標準將帶來強制規範

美國國土安全部(U.S. Department of Homeland Security)已經提出保護物聯網裝置安全的建議,美國國家標準暨技術研究院(NIST)也公布了一份「給物聯網裝置製造商的建議」;IoTSF則為物聯網裝置開發者們提供「安全設計最佳實例指南」。

包括歐洲電信標準協會(European Telecommunications Standards Institute,ESTI)等,則提案訂定國際性的物聯網安全標準;還有英國最近宣佈將訂定物聯網安全法,將安全漏洞通報列為強制性規範。澳洲政府也有相關的行為準則提案。

「雖然那些標準提案不盡相同,基本上都在描述相同的事情;」Moor表示,目前實際可用的安全漏洞處理程序標準是ISO/IEC 30111,2014與2015年的版本已經免費公開,但2019年版則受版權保護:「這會帶來雖然低但是值得注意的一個門檻。」

ETSI訂定的標準預計今年夏天出爐,是以英國的消費性物聯網安全性準則(UK Code of Practice for Consumer IoT Security)以及該準則的最低要求為基礎,包括變更預設密碼、設置安全漏洞通報措施,以及持續進行軟體安全性更新等。

 

根據全球性調查,擁有符合即將出爐標準或法規之安全漏洞通報措施的歐洲業者比例,低於北美與亞洲的業者。

(圖片來源:IoT Security Foundation)

 

ETSI標準與英國法規的整體目標,是為物聯網裝置的網路安全性建立基準線;相關標準的研究人員從消費性等級裝置起步,是因為這些產品的成本最低,安全性要求也沒有像醫療、汽車、國營事業基礎設施等應用那麼高。

「如果連網裝置製造商沒有安全漏洞通報措施,它們根本不應該做連網裝置生意;」Moor措詞強硬地表示:「這對產業的成功以及終端使用者的安全至關重要,而且他們遲早得要有,因為強制性法規馬上就要出現了。」

編譯:Judith Cheng

(參考原文:IoT Device Vendors: Why Resist Vulnerability Reporting?,by Ann R. Thryft)

發表評論