IoT Device Firmware Security for Manufacturers
在產品開發過程中,利用網路安全倡導者可以幫助在漏洞傳播之前解決漏洞。
近年來,物聯網設備的爆炸式成長,帶來了許多新數據,這些數據可以幫助組織領導者,就各種問題做出決策。
無論是在大流行之後,利用影像分析來執行社交疏散要求,還是安裝智慧感測器,來確定倉庫或工廠中的機器,何時存在潛在問題,連接的解決方案,都將永遠改變安全性和業務格局。
但是,網路上設備數量不斷增加的弊端是,對於希望竊取敏感數據,或造成嚴重破壞的駭客來說,還有更多潛在的切入點。
上個月,基於雲的影像監控提供商 Verkada,遭受了其網路的破壞,導致駭客團體訪問了超過 15 萬台攝影機,這些漏洞在實體安全行業得到了充分展示。
網路安全專家,最常提到的有關 IoT 設備,易受攻擊性的問題之一是,在匆忙將這些產品推向市場時,在開發這些產品,時常常忽略了安全性。美國一些州,甚至聯邦政府,最近已加強行動,以確保將來不會忽略,這些設備中的網路安全。
在 2019 年,加利福尼亞州通過了新的物聯網安全法,要求該州出售的所有 IoT 設備,都必須配備「合理的安全措施」。12月,美國前總統唐納德·川普(Donald Trump),將《物聯網網路安全改進法案》簽署為法律,該法案為聯邦政府購買的所有物聯網設備,設定了最低安全標準。
Pentest 作為服務提供商 Cobalt 的 CISO 雷·埃斯皮諾薩(Ray Espinoza)認為,從歷史上看,許多設備製造商的問題,是這些公司的安全團隊,和工程團隊之間,經常脫節,這導致了今天 IoT 產品中,發現許多常見漏洞。
「通常,沒有足夠的安全團隊成員,來擴展以滿足這些公司,不同開發團隊的需求。因此,沒有給予足夠的重視,通常在開發軟體,開發安全性最終具有某種眼光,或觀點的產品時,通常會遇到這些人為障礙或關卡,通常會尋找漏洞 – 也許是滲透測試,代碼審查等。」
Espinoza 解釋說,他在整個職業生涯中,也曾在 Cisco 和 Amazon 擔任 IT 安全職務。「但是有時候,這會引起摩擦,因為在流程中,沒有足夠早地涉及安全性,然後你就面臨著,第 11 個小時的關口,甚至可能與安全性相關的問題,有關如何將該產品推向市場,釋放該新功能,等等。」
因此,組織可以採取什麼措施,來防止此類內部衝突,並確保安全性融入其解決方案中? Espinoza 說答案很簡單:在公司內部尋找並找到「安全擁護者」。
招募安全冠軍
Espinoza 表示,由於大多數企業將無法外出,並聘請需要嵌入,這些不同部門的安全工程師,因此,第二種最佳選擇,是在公司招聘人員,通常是有經驗的資深員工,或資深工程師,將穩健的安全措施納入這些產品的重要性 – 並使它們在整個開發過程中,實質上是安全性的倡導者。
「我們一直都找到了幾位,傾向於安全的工程負責人,和工程經理。他們真正關心的,是他們處理的客戶資訊或數據,他們認為這很酷,並且一直想瞭解更多。」 Espinoza 說。
「過去,我們啟用了其中一些功能,並利用它來發揮優勢,說:嘿,你已經很注重安全,並且是我們出色的合作夥伴,為什麼我們不讓你和整個組織的其他工程負責人來,我們將訓練你,我們將傾聽,並更好地瞭解你解決的問題,並看到我們可以採取哪些行動,來共同解決這些問題。我們能否找到,你可以帶給你的團隊,並為其提供價值的產出?而且,在我們訓練你的過程中,你可能會成為另一群眼睛和耳朵,他們正在計劃說,嘿,伙計們,我認為我們需要將安全性,作為更大或更主動的一部分,或者嘿,伙計,讓你考慮了這個。」
Espinoza 強調,安全負責人必須是組織中的高級人員,而不是實習生或應屆大學畢業生,因為他們沒有確保該計劃成功的必要級別,或專業知識,或影響力。
平衡優先事項
在公司內擁有適當的經驗廣度,意味著安全擁護者,還將可能知道如何權衡,即將出現的安全問題,與緊迫的內部時間表,以及整個產品開發生命週期中,可能出現的其他問題。
Espinoza 補充說:「如果你擁有適當的經驗和資歷,就已經在真正的問題,以及我們可以忍受的問題中,掙扎了一些戰痕。」
「最終歸結為,我們是否可以更好地,教育其中的一些領導者,以瞭解公司的風險承受能力是什麼?如果我們對可能遇到的問題類型,以及我們絕對無法解決的問題類型,有所瞭解。那麼他們就可以說,這肯定會使我們的客戶數據面臨風險,並且不是我們願意忍受的東西,但是當我們繼續創建此功能時,我們可能沒有完全的可見性,這沒關係,因為我們擁有這些支持控件,例如滲透測試和其他附加測試,也許可以找到這些問題。並在我們處理過程中,解決這些問題。」
Espinoza 說,他給自己的許多安全擁護者,以及其他組織的擁護者,提供的建議是務實,具體和挑剔。此外,Espinoza 說,公司還需要一種方法,來衡量安全冠軍計劃(例如調查)的有效性,以確保其團隊從中受益。他補充說:「這真是一種部落知識,可以使人們聚在一起,互相學習,同時仍對我們想要實現的結果,提供指導。」
Espinosa 表示,這些計劃和類似計劃,已在大型和小型組織中獲得成功。
他說:「我已經看到它可以在最大程度上發揮作用,而且我也看到它可以在規模較小的組織中,發揮作用。」
「我的建議是從小處著手,先衡量然後再務實地,使用你想要使程序,成功完成的附加組件。你不必在第一天,就建造一艘火箭飛船。你可以建造一輛貨車,提供一些價值,收集一些回饋,並弄清楚,我們要從這裡走到哪裡。」
沒有留言:
張貼留言