美国发表物联网安全策略准则物联网安全亟待
美国国土安全部(Department of Homeland Security,DHS)于本周二(11/15)发表了《 保护物联网策略准则《Strategic Principles for Securing the Internet of Things)》1.0版,呼吁物联网生态体系在设计、 生产及使用物联网设备与系统时皆应负起保障物联网(IoT)安全的责任。
美国国土安全部长Jeh Johnson指出, 大众对连网技术的依赖程度已经超出了保护范围, 人们日益仰赖各种连网活动,从自动驾驶车到供水与供电的控制系统,都让物联网成为国土安全的重要议题, 此一准则将让设备制造商进行安全决策时有所依据。
该准则的要点包括在设计时间就应考虑安全问题、 改善安全更新与漏洞管理机制、建立可靠的安全作法、以安全为优先任务、推动物联网IoT生态体系的透明化,以及谨慎连结等。 以督促企业从开发、生产、 导入及使用物联网等各阶段都能确保安全性。
此外,在本周一场有关物联网IoT安全性的美国会公听会上,也有一些安全专家呼吁政府应立法保障物联网IoT安全。 专精于医疗照护网络安全的Virta Labs执行官Kevin Fu即说,现在物联网IoT安全正处于一个令人感到难过的阶段, 因为生产及部署不安全物联网IoT设备的企业几乎不需要负担任何责任。
哈佛大学网络生态研究中心Berkman Klein Center研究员Bruce Schneier则说, 让此一局面得以维持的原因是不管制造商或是消费者都不在乎物联网IoT 的安全性,因此需要政府介入。 Schneier甚至提议政府应设立一个全新的机构来强制执行物联网I oT法令。
缺乏安全与更新机制让物联网IoT设备近来逐渐成为殭尸网络的主力, 例如根据Level 3威胁研究中心的统计, Mirai殭尸病毒感染近50万台物联网IoT设备, 而Bashlight殭尸病毒则感染超过96万台的物联网IoT设备, 其中的Mirai更是今年9月及10月发动分布式阻断服务( DDoS)攻击, 瘫痪KrebsOnSecurity安全部落格、攻击网站代管服务供货商OVH与美国网络效能管理公司Dyn旗下 DNS服务的元凶。