物联网安全基金会(IoTSF)推出了一个旨在帮助物联网供应商接收、评估、管理和缓解漏洞报告的在线平台。VulnerableThings.com网站旨在简化漏洞的报告和管理,同时帮助物联网供应商遵守新的消费者物联网安全标准和法规。
作为全球首个适用于消费者物联网网络安全的标准,新的ETSI EN 303 645规范要求物联网供应商(可能包括设备制造商或进口商/分销商)发布清晰透明的漏洞披露政策;建立内部漏洞管理程序;公开漏洞报告的联系信息;持续监控和识别产品中的安全漏洞。
世界各地的政府,包括英国、澳大利亚、新加坡、芬兰以及美国加利福尼亚州和俄勒冈州,都已经发布了行为准则、产品标签制度或制定了与该标准相一致的立法。实施接受脆弱性报告的手段是这些举措的一个共同特点。如果没有报告、管理和解决漏洞的机制(如协同漏洞披露(CVD)),消费者物联网产品的安全性会随着时间的推移而降低,攻击或滥用的风险也会增加。
“漏洞管理是物联网网络卫生的一个基本要素,因此,世界各国政府和监管机构将此作为一项强制性要求也就不足为奇了,”物联网安全基金会常务董事约翰·穆尔说。
“作为物联网安全方面的世界权威机构,IoTSF发布了漏洞披露优秀实践和行业状况报告。我们的结论是,行业必须采取更多措施保护客户和自己的业务。因此,我们认为有必要推动这一至关重要的安全实践,并致力于通过推出易受攻击的东西平台,使之尽可能简单——尤其是对于那些缺乏经验和缺乏资源的公司。该服务代理研究人员和供应商之间的良好沟通,并指导双方完成整个过程。我们正在试用这项服务,以测试可能的需求,并为用户获取反馈。”
漏洞可能会危及用户安全和个人数据,并可能使物联网供应商违反数据保护法规。供应商对报告的漏洞(无论是来自消费者还是专业安全研究人员)不作出回应,都可能导致不受控制地公开披露该漏洞,这将增加坏人攻击的风险。修复漏洞可迅速降低用户、设备、网络和物联网制造商的风险。
英国政府数字基础设施部长马特·沃曼评论道:“我欢迎这一新举措,帮助工业界提高物联网设备的安全性,促进我们蓬勃发展的数字经济,同时保护在线用户。我们希望每个人都有信心,他们购买的互联网连接产品具有更强的安全性,并正在努力制定这一领域的立法,以帮助实现这一目标。”
VulnerableThings.com网站旨在提供现成的、用户友好的漏洞管理工具和其他有价值的成员资源,包括政策模板、问题解决指南和专家顾问名录,以帮助物联网制造商为新法规做好准备并保持合规性。CVD必须成为成功的物联网供应商文化的重要组成部分,并且需要得到企业董事会、合规官、产品经理、产品开发经理、产品安全、供应链经理和公共关系团队的理解和支持。
订阅了易受攻击的东西的制造商可以访问一个仪表板,该仪表板将指导他们完成漏洞解决过程,并促进与报告者的沟通。如果产品中报告了来自未注册服务的供应商的漏洞,将向制造商的公共电子邮件地址发送警报,然后制造商将有机会通过访问VulnerableThings安全地访问漏洞报告的详细信息。
访问VulnerableThings.com网站2021年1月31日前免费提供。订阅这项服务还可以为协调的披露公告提供专业支持。
而漏洞可以由任何个人匿名报告,通过注册VulnerableThings.com网站,为安全研究人员提供了一个仪表板,允许他们监控解决他们向不同制造商报告的漏洞的进展情况。促进供应商和安全研究人员之间的对话将有助于物联网生态系统的成功。