你能想像警察局、审讯室,或是在其他布置着警用摄像头的场所,一个黑客可以监视这一切吗?
美国一家警用随身摄像头供应商,最近被在其设备上被检测出恶意软件--飞客蠕虫病毒。而且,这款7年前就出现的老计算机病毒感染了这家制造商的多款摄像头。
飞客蠕虫病毒自第一个变种开始横行以来已经7年,其长久不衰的事实证明了它是一款非常难以根除的病毒。如果未受防护的系统连接上了这些受到感染的设备,也很有可能被感染。也就是说,警察局的计算机系统可能早已被感染。
随着互联网持续深入,日常工作和生活的各种设备制造商,遵从严格的安全协议这一点变得愈加重要。但如果产品是在海外制造的,制造商在保证用户的安全方面又该承担起哪些责任呢?
一些事实
前国家安全局承包商爱德华·斯诺登泄露的文件详细描述了美国情报机构拦截电子硬件设备的货运,植入监视程序后再重新发往目的地的所作所为。
另一起攻击事件中,某国一家条形码扫描器供应商在往至少8家公司发送的设备中植入了高级恶意软件。据安全公司披露,这起攻击事件很可能是该国政府支持的工业间谍行动的一部分。
无论有意攻击还是无意感染,这类事件都凸显出供应商和制造商都需要做出更多努力来保卫他们的客户免遭网络攻击。
但目前的事实表示,在保证产品安全上,制造商们做的远远不够,攻击者可以轻易染指这些设备。
供应商必需配合
公司企业要做的第一步,就是要求他们的供应商遵从与他们一致的安全标准和策略。尽管这一努力可能需要花费时间,培养供应商达到他们客户的产品安全期望是一个好的开始。只要明确告知,大多数生产商都会切实遵从客户的要求。
而且,供应商需要了解,安全是任何联网产品都需要的特性之一。虽然将产品快速推向市场和让产品具有恰当的特性很明显是成功必需品,但保证产品和客户数据的安全正逐渐成为任何开发工作的关键组成部分。
管控到位以保证即将推向市场的产品的安全,很明显是制造商的责任。
建立安全开发过程
达到适当的安全绝非易事,但随着今天人们对信息技术的巨大依赖,软件和技术供应商需要更多的努力以保护他们的设备。如,开发者应该遵从安全的软件开发过程。
类似于SafeCODE的软件保障评估原则和其他诸如安全成熟度模型(BSIMM),都将对这一过程带来极大的帮助。虽然对很多供应商而言,这将是一个新的领域。毕竟对于整个产业来说,并没有像苹果和微软那样在过去20年里一直遭受恶意软件困扰,也因此没能学到这些教训。
一旦公司企业创立了改进产品安全的过程,或者作为消费者有了检查供应商产品安全的习惯,培训和再培训就能帮助将安全理念灌输进开发者的工作方式中。
当然,即便做到每件事也不能保证绝对的网络安全,不能保证攻击者无法找到新的方法突破我们的系统。
安全是一种能力,更是一个对抗过程。