導(dǎo)讀:該準(zhǔn)則旨在確保家用集線器、智能家居設(shè)備、安全攝像頭、可穿戴設(shè)備和連網(wǎng)玩具等設(shè)備免受外部攻擊和數(shù)據(jù)泄露。
英國政府為物聯(lián)網(wǎng)(IOT)設(shè)備制造商發(fā)布了一項(xiàng)新的自愿行為準(zhǔn)則,旨在保護(hù)消費(fèi)類物聯(lián)網(wǎng)。
該準(zhǔn)則旨在確保家用集線器、智能家居設(shè)備、安全攝像頭、可穿戴設(shè)備和連網(wǎng)玩具等設(shè)備免受外部攻擊和數(shù)據(jù)泄露。
今年早些時候,英國數(shù)字、文化、媒體和體育部(DCMS)和英國國家網(wǎng)絡(luò)安全中心(NCSC)在聯(lián)合安全設(shè)計(jì)審查之后采取了這一最新舉措,該審查旨在將安全嵌入新技術(shù)的設(shè)計(jì)流程中。
該準(zhǔn)則稱,“隨著人們將越來越多的個人數(shù)據(jù)委托給在線設(shè)備和服務(wù)商,這些產(chǎn)品的網(wǎng)絡(luò)安全與我們家庭成員的人身安全一樣重要?!?/p>
“本行為準(zhǔn)則的目的是通過一套指導(dǎo)方針來支持所有參與消費(fèi)物聯(lián)網(wǎng)開發(fā)、制造和零售的各方,以確保產(chǎn)品在設(shè)計(jì)上是安全的,并使人們在數(shù)字世界中更容易保持安全?!?/p>
安全行為準(zhǔn)則:
3月份以草案形式發(fā)布的新指南,列出了消費(fèi)類設(shè)備制造商在設(shè)計(jì)物聯(lián)網(wǎng)產(chǎn)品時應(yīng)遵循的13個步驟。
它們是:
1) 禁止使用默認(rèn)密碼
所有物聯(lián)網(wǎng)設(shè)備密碼都應(yīng)是唯一的,并且不能重置為任何通用出廠默認(rèn)值。
許多物聯(lián)網(wǎng)設(shè)備在銷售時使用的是通用默認(rèn)用戶名和密碼(如“Admin,Admin”),消費(fèi)者應(yīng)對其進(jìn)行更改。這是物聯(lián)網(wǎng)中許多安全問題的源頭所在,需要杜絕這種做法。應(yīng)遵循密碼和其他身份驗(yàn)證方法的最佳做法。
主要適用于:設(shè)備制造商
2) 實(shí)施漏洞披露政策
作為漏洞披露政策的一部分,所有提供互聯(lián)網(wǎng)連接設(shè)備和服務(wù)的公司都應(yīng)提供公共聯(lián)絡(luò)點(diǎn),以便安全研究人員和其他人能夠報(bào)告問題。已披露的漏洞應(yīng)及時予以處理。
了解安全漏洞使公司能夠作出回應(yīng)。作為產(chǎn)品安全生命周期的一部分,公司還應(yīng)持續(xù)監(jiān)視、識別和糾正其自身產(chǎn)品和服務(wù)中的安全漏洞。最開始就應(yīng)直接向受影響的利益相關(guān)者報(bào)告漏洞。如果無法做到,則可向國家當(dāng)局報(bào)告這些漏洞。有關(guān)在不同情況下應(yīng)采取的不同做法的詳細(xì)信息,請參閱注釋。我們還鼓勵公司與主管行業(yè)團(tuán)體分享信息。
主要適用于:設(shè)備制造商、物聯(lián)網(wǎng)服務(wù)提供商和移動應(yīng)用程序開發(fā)人員
3) 保持軟件更新
聯(lián)網(wǎng)設(shè)備中的軟件組件應(yīng)能夠安全地執(zhí)行更新。更新需及時進(jìn)行,并且不能影響設(shè)備的功能。終端設(shè)備應(yīng)布一項(xiàng)壽命終止政策,該政策需明確規(guī)定設(shè)備接收軟件更新的最短時間長度,以及采用該支持周期長度的原因。每次更新的需求都應(yīng)清楚地向消費(fèi)者提出,并且要易于實(shí)施。對于無法執(zhí)行物理更新的受限設(shè)備,產(chǎn)品應(yīng)可以隔離和更換。
還應(yīng)保證安全補(bǔ)丁來源的可靠性,并通過安全的渠道交付。更新過程中應(yīng)盡可能保證設(shè)備的基本功能繼續(xù)運(yùn)行,例如手表應(yīng)繼續(xù)顯示時間、自動調(diào)溫器應(yīng)繼續(xù)運(yùn)行、鎖應(yīng)繼續(xù)正常解鎖和閉合。這似乎主要是設(shè)計(jì)方面的問題,但如果不考慮或未正確管理,可能會為某些類型的設(shè)備和系統(tǒng)帶來重大安全問題。
軟件更新應(yīng)在設(shè)備銷售后提供,然后在規(guī)定的周期內(nèi)推送至該設(shè)備。購買產(chǎn)品時,應(yīng)向消費(fèi)者明確說明軟件更新支持的周期。零售商和/或制造商應(yīng)向消費(fèi)者發(fā)出更新通知。對于不可能進(jìn)行軟件更新的受限設(shè)備,應(yīng)明確指出更換支持的條件和周期。
主要適用于:設(shè)備制造商、物聯(lián)網(wǎng)服務(wù)提供商和移動應(yīng)用程序開發(fā)人員
4) 安全存儲憑據(jù)和安全敏感數(shù)據(jù)
任何憑證都應(yīng)安全地存儲在服務(wù)和設(shè)備上。不得使用硬編碼在設(shè)備軟件中的憑證。設(shè)備和應(yīng)用程序的逆向工程可輕松發(fā)現(xiàn)硬編碼在軟件中的憑證,諸如用戶名和密碼等。用于掩蓋或加密這種硬編碼信息的簡單模糊處理方法也可能會受到破壞。安全敏感數(shù)據(jù)(例如加密密鑰、設(shè)備標(biāo)識符和初始化向量)應(yīng)安全地存儲。應(yīng)使用安全、可信的存儲機(jī)制,如受信任的執(zhí)行環(huán)境以及相關(guān)的可靠、安全的存儲所提供的存儲機(jī)制。
主要適用于:設(shè)備制造商、物聯(lián)網(wǎng)服務(wù)提供商、移動應(yīng)用程序開發(fā)人員
5) 安全通信
安全敏感數(shù)據(jù)(包括所有遠(yuǎn)程管理和控制數(shù)據(jù))在傳輸過程中應(yīng)該采用適用于技術(shù)和使用方式屬性的方法進(jìn)行加密。所有密鑰都應(yīng)安全管理。我們強(qiáng)烈鼓勵應(yīng)用開放、同行評審的互聯(lián)網(wǎng)標(biāo)準(zhǔn)。
主要適用于:設(shè)備制造商、物聯(lián)網(wǎng)服務(wù)提供商、移動應(yīng)用程序開發(fā)人員
6) 盡量減少暴露的攻擊面
所有設(shè)備和服務(wù)都應(yīng)基于“最小權(quán)限原則”運(yùn)行;未使用的端口應(yīng)關(guān)閉,硬件不得提供不必要的訪問權(quán)限,服務(wù)在未使用時應(yīng)不可用,并應(yīng)盡量減少代碼,僅保留使服務(wù)正常運(yùn)行所需的最少代碼。軟件應(yīng)以適當(dāng)?shù)臋?quán)限運(yùn)行,同時考慮安全性和功能。其他任何應(yīng)用領(lǐng)域一樣,在物聯(lián)網(wǎng)領(lǐng)域中,最小權(quán)限原則也是良好安全工程設(shè)計(jì)的基礎(chǔ)。
主要適用于:設(shè)備制造商、物聯(lián)網(wǎng)服務(wù)提供商
7) 確保軟件完整性
應(yīng)使用安全啟動機(jī)制驗(yàn)證物聯(lián)網(wǎng)設(shè)備上的軟件。如果檢測到未經(jīng)授權(quán)的更改,設(shè)備應(yīng)向用戶/管理員發(fā)出警報(bào),提醒其注意問題,并且除了執(zhí)行警報(bào)功能所需的網(wǎng)絡(luò)之外,不能連接到更廣泛的網(wǎng)絡(luò)。
從此類情況下執(zhí)行遠(yuǎn)程恢復(fù)的能力應(yīng)依賴于已知良好狀態(tài),例如在本地存儲已知良好的版本,以實(shí)現(xiàn)設(shè)備安全恢復(fù)和更新。這將避免拒絕服務(wù)和成本高昂的召回或維護(hù)訪問,同時管理設(shè)備被攻擊者通過破壞更新或其他網(wǎng)絡(luò)通信機(jī)制的方式進(jìn)行接管的潛在風(fēng)險(xiǎn)。
主要適用于:設(shè)備制造商
8) 確保個人數(shù)據(jù)受到保護(hù)
設(shè)備和/或服務(wù)處理個人數(shù)據(jù)時應(yīng)遵循適用的數(shù)據(jù)保護(hù)法律,如《一般數(shù)據(jù)保護(hù)條例》(GDPR)和《2018 年數(shù)據(jù)保護(hù)法案》。在每種設(shè)備和服務(wù)中,設(shè)備制造商和物聯(lián)網(wǎng)服務(wù)提供商都應(yīng)向消費(fèi)者提供清晰、透明的信息,說明其個人數(shù)據(jù)的使用方式、使用者以及使用目的。這也適用于可能涉及的任何第三方(包括廣告商)。如果個人數(shù)據(jù)依據(jù)消費(fèi)者的授權(quán)進(jìn)行處理,則此授權(quán)應(yīng)以合法、有效的方式獲得,并允許消費(fèi)者隨時撤回。
此準(zhǔn)則可確保:
i) IoT 制造商、服務(wù)提供商和應(yīng)用程序開發(fā)人員在開發(fā)和交付產(chǎn)品和服務(wù)時遵守?cái)?shù)據(jù)保護(hù)義務(wù);
ii) 根據(jù)數(shù)據(jù)保護(hù)法律處理個人數(shù)據(jù);
iii) 協(xié)助用戶確保其產(chǎn)品的數(shù)據(jù)處理操作一致,并且根據(jù)規(guī)范正常運(yùn)行;
Iv) 為用戶提供通過適當(dāng)配置設(shè)備和服務(wù)功能來保護(hù)其隱私的方法。
主要適用于:設(shè)備制造商、物聯(lián)網(wǎng)服務(wù)提供商、移動應(yīng)用程序開發(fā)人員、零售商
9) 使系統(tǒng)能從故障中迅速恢復(fù)
考慮到存在數(shù)據(jù)網(wǎng)絡(luò)中斷或電力中斷的可能性,根據(jù)物聯(lián)網(wǎng)設(shè)備和服務(wù)的用途或依賴于其的系統(tǒng),如果物聯(lián)網(wǎng)設(shè)備和服務(wù)需要具備恢復(fù)機(jī)制,則應(yīng)具備相應(yīng)的內(nèi)置恢復(fù)機(jī)制。物聯(lián)網(wǎng)服務(wù)應(yīng)盡可能在網(wǎng)絡(luò)斷開的情況下保持正常工作能力、可在本地正常運(yùn)行,并應(yīng)在恢復(fù)供電時完全恢復(fù)。設(shè)備應(yīng)能夠以合理狀態(tài)和有序的方式重新加入網(wǎng)絡(luò),而不是通過大規(guī)模重新連接的方式重新加入。
當(dāng)今的消費(fèi)者在一些日益重要的使用情形中依賴于物聯(lián)網(wǎng)系統(tǒng)和設(shè)備,這些使用情形可能與安全相關(guān)或影響生命。如果發(fā)生網(wǎng)絡(luò)斷開,服務(wù)應(yīng)保持在本地正常運(yùn)行,這是一種可提高恢復(fù)能力的措施。其他措施可能包括構(gòu)建冗余和對 DDoS 攻擊的防范措施。應(yīng)基于用途確定適當(dāng)?shù)幕謴?fù)能力,同時要考慮到可能依賴于這些系統(tǒng)、服務(wù)或設(shè)備的其他人,因?yàn)槠溆绊懣赡軙阮A(yù)期更廣泛。
主要適用于:設(shè)備制造商、物聯(lián)網(wǎng)服務(wù)提供商
10) 監(jiān)控系統(tǒng)遙測數(shù)據(jù)
如果從物聯(lián)網(wǎng)設(shè)備和服務(wù)收集遙測數(shù)據(jù),如使用和測量數(shù)據(jù),則應(yīng)監(jiān)控是否存在安全異常。監(jiān)控遙測數(shù)據(jù)(包括日志數(shù)據(jù))有助于安全評估,并支持在早期發(fā)現(xiàn)異常情況,從而最大限度地降低安全風(fēng)險(xiǎn),并快速緩解問題。但是,根據(jù)準(zhǔn)則,應(yīng)將對個人數(shù)據(jù)的處理量保持在最低限度,并向消費(fèi)者說明要收集哪些數(shù)據(jù)及收集原因。
主要適用于:物聯(lián)網(wǎng)服務(wù)提供商
11) 使用戶能夠輕松刪除個人數(shù)據(jù)
設(shè)備和服務(wù)的設(shè)置應(yīng)允許消費(fèi)者在轉(zhuǎn)讓設(shè)備所有權(quán)、希望刪除數(shù)據(jù)和/或想要處置設(shè)備時輕松刪除個人數(shù)據(jù)。應(yīng)向消費(fèi)者提供有關(guān)如何刪除其個人數(shù)據(jù)的明確說明。
物聯(lián)網(wǎng)設(shè)備可能會更換所有權(quán)、最終被回收或處置??商峁┫鄳?yīng)的機(jī)制,讓消費(fèi)者能夠保持控制和刪除服務(wù)、設(shè)備和應(yīng)用程序中的個人數(shù)據(jù)。
主要適用于:設(shè)備制造商、物聯(lián)網(wǎng)服務(wù)提供商、移動應(yīng)用程序開發(fā)人員
12) 輕松安裝和維護(hù)設(shè)備
物聯(lián)網(wǎng)設(shè)備的安裝和維護(hù)應(yīng)采用最少的步驟,并應(yīng)遵循安全最佳做法。還應(yīng)向消費(fèi)者提供有關(guān)如何安全地設(shè)置其設(shè)備的指導(dǎo)。
可通過是當(dāng)?shù)亟鉀Q用戶界面中的復(fù)雜性和改善設(shè)計(jì)來減少甚至消除由于消費(fèi)者混淆或錯誤配置導(dǎo)致的安全問題。向用戶提供有關(guān)如何安全地配置設(shè)備的指導(dǎo),也可降低其受到威脅的可能性。
主要適用于:設(shè)備制造商、物聯(lián)網(wǎng)服務(wù)提供商、移動應(yīng)用程序開發(fā)人員
13) 驗(yàn)證輸入數(shù)據(jù)
通過用戶界面輸入的數(shù)據(jù),以及通過應(yīng)用程序編程接口 (API) 傳輸?shù)臄?shù)據(jù)或在服務(wù)和設(shè)備之間的網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)均應(yīng)執(zhí)行驗(yàn)證。
格式設(shè)置不正確的數(shù)據(jù)或通過不同類型的接口傳輸?shù)拇a都可能破壞系統(tǒng)。攻擊者通常采用自動化工具來利用未驗(yàn)證數(shù)據(jù)的潛在缺陷和弱點(diǎn)。示例包括但不限于以下類型的數(shù)據(jù):
i) 不屬于預(yù)期類型,例如可執(zhí)行代碼,而不是用戶輸入的文本。
ii) 超出范圍,例如溫度值超過傳感器限值。
主要適用于:設(shè)備制造商、物聯(lián)網(wǎng)服務(wù)提供商、移動應(yīng)用程序開發(fā)人員
支持準(zhǔn)則
政府表示,實(shí)施這些指導(dǎo)方針將“有助于保護(hù)消費(fèi)者的隱私和安全,同時使他們更容易安全地使用他們的產(chǎn)品”。它還將減輕分布式拒絕服務(wù)(DDoS)攻擊的威脅,這些攻擊通常是從安全性差的物聯(lián)網(wǎng)設(shè)備和服務(wù)發(fā)起的。
一些物聯(lián)網(wǎng)制造商,如惠普和Centrica Hive,已經(jīng)承諾支持該行為準(zhǔn)則。
英國數(shù)字、文化、媒體和體育部(DCMS)部長Margot James對這一消息表示歡迎,稱“英國在產(chǎn)品安全方面處于全球領(lǐng)先地位,并將消費(fèi)者不得不保護(hù)其設(shè)備的負(fù)擔(dān)轉(zhuǎn)移開來”。
“惠普公司和Centrica Hive的承諾是值得歡迎的第一步,但至關(guān)重要的是,其他制造商也要跟隨,確保從設(shè)計(jì)的那一刻起就將強(qiáng)大安全措施納入日常技術(shù)中?!?/p>
Ian LeAlex Neill博士,Which家居產(chǎn)品和服務(wù)總經(jīng)理補(bǔ)充說:“我們歡迎政府帶頭解決互聯(lián)網(wǎng)產(chǎn)品日益增長的安全問題,這些智能設(shè)備的制造商現(xiàn)在必須認(rèn)真對待安全,并簽署該準(zhǔn)則,以更好地保護(hù)每天使用其產(chǎn)品的消費(fèi)者”。
為什么準(zhǔn)則不是強(qiáng)制性的?
然而,一些安全專家質(zhì)疑為何該準(zhǔn)則是自愿的,政府則表示該準(zhǔn)則“以結(jié)果為中心,而不是強(qiáng)制性的”,給予企業(yè)“創(chuàng)新和實(shí)施適合其產(chǎn)品安全解決方案的靈活性?!?/p>
網(wǎng)絡(luò)安全公司Redscan的首席技術(shù)官Andy Kays警告稱,正因?yàn)槿绱?,小型制造商將會蔑視新?guī)則。他說:“為了產(chǎn)生真正的積極影響,我們需要確保在全球范圍內(nèi)改善合作,并采取更多措施幫助企業(yè)在整個開發(fā)生命周期中優(yōu)先考慮安全?!?/p>
“現(xiàn)在,網(wǎng)絡(luò)安全通常是一些制造商優(yōu)先考慮問題中的最后一個。新功能和服務(wù)正在推動銷售,而不是穩(wěn)固性,制造商將原型作為成熟產(chǎn)品銷售,以引起關(guān)注并盡快推向市場?!?/p>
“新制造商和初創(chuàng)企業(yè)與更成熟企業(yè)沒有相同的品牌資產(chǎn)水平,因此,他們傾向于冒更大的風(fēng)險(xiǎn)來將產(chǎn)品推向市場,這可能意味著網(wǎng)絡(luò)安全風(fēng)險(xiǎn)較少受到關(guān)注。”
“零售商也需要盡自己的一份力量,通過確保他們選擇符合公認(rèn)的安全標(biāo)準(zhǔn)產(chǎn)品來保護(hù)消費(fèi)者。”
他的評論得到了業(yè)界其他人贊同。例如,IOActive戰(zhàn)略副總裁John Sheehy說:“雖然這確實(shí)是朝著正確方向邁出的一步,但鑒于這是自愿的,行業(yè)不太可能對此采取行動?!?/p>
“不幸的是,許多設(shè)備制造商更關(guān)心將最低限度可行的產(chǎn)品推向市場,而不是它是否安全。因此,許多物聯(lián)網(wǎng)設(shè)備使其所有者面臨重大風(fēng)險(xiǎn)?!?/p>
Infoblox技術(shù)總監(jiān)Gary Cox補(bǔ)充說:“為保護(hù)企業(yè),可以——而且應(yīng)該---做得更多?!?/p>
“我們最近的報(bào)告顯示,美國、英國和德國超過三分之一(35%)的公司報(bào)告說,每天有超過5000臺個人設(shè)備——從智能手機(jī)到平板電腦和筆記本電腦——連接到企業(yè)網(wǎng)絡(luò),表明了該漏洞的規(guī)模。”
“有可能會有更多設(shè)備連接到專業(yè)網(wǎng)絡(luò),增加了它們被勒索軟件、數(shù)據(jù)泄漏和其他形式網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。”
“為了降低黑客,違規(guī)和濫用的風(fēng)險(xiǎn),企業(yè)必須更加重視安全,并且應(yīng)該從一開始就將其構(gòu)建到設(shè)備中,在識別網(wǎng)絡(luò)中的惡意通信時,請將智能DNS解決方案作為任何防御策略的核心?!?/p>