2020年全世界的物联网设备安装量将达到350亿台，这意味着有350亿个让黑客威胁安全性的机会。

物联网(IoT)设备被黑客入侵导致数据被窃取、控制权被夺取等的案件层出不穷，包括Google与Samsung的Android平台相机应用程序，还有亚马逊(Amazon)旗下的Ring品牌家用安防摄影机，都曾经被“劫持”，用来窥探使用者。

根据市场研究机构Omdia (前身为IHS Markit的科技市场研究部门)估计，2020年全世界的物联网设备安装量将达到350亿台；该机构企业研究部门副总裁Bill Morelli在接受《EE Times》采访的电子邮件中表示，这意味着有350亿个让黑客威胁安全性的机会。“因此，网络安全已经成为全球各个企业组织的第一优先，”他指出：“全球网络安全相关支出预计在2023年，从2019年的600亿美元激增至1,570亿美元。”

每一个消费性物联网设备的安全漏洞，都可能导致数百万使用者的安全性与隐私权威胁，而且很多连网消费类电子产品的安全漏洞都不是被制造商发现的，反而是外部的网络安全专家，或是所谓的“白帽子”(white-hat)发现的。(EETT编按：就是没有犯罪恶意的善良黑客)。

这也是为什么安全漏洞通报(vulnerability reporting)被广泛认为是对物联网设备安全性的基本要求。所以制造商应该基于这个理由，尽一切可能来征求这类的发现，以快速找到漏洞所在并进行修补。可惜事实显然并非如此。

安全漏洞通报仍是一个新观念

产业组织“物联网安全性基金会”(IoT Security Foundation，IoTSF)的最新报告指出，有超过86%的消费类物联网设备制造商没有安全漏洞通报措施，政府主管机关短期内并没有相关强制要求的立法规划，之前也没有相关国际标准，但在2020年1月13日，由Secure Communications Alliance(SCA)牵头的全球首份物联网信息安全的国际标准（SE部分）正式发布，这也标志着今后的物联网设备的信息安全技术已经“有规可依”。（下载方式：关注“奥航智讯”公众号，输入“IoT PP”获取下载地址。）

这是该基金会第二次发行的年报，调查了全球共330家消费类物联网产品制造商；它们的产品从摄影机到洗衣机都有，其中最大的两个产品类别，是智能家用照明以及智能家用安防。而就像报告中所写：“有些讽刺的是，智能家居安全(smart home security)产品类别中的37家厂商，只有3家(占据该类别8%比例)拥有安全漏洞通报措施。”

整体看来，具备安全漏洞通报措施的相关企业比例，从9.7%增加到了13.3%；除了少数例外，这些都是拥有主要消费类品牌产品的大公司，例如Amazon、Apple、FitBit、Dyson、Garmin、Google、HP、HTC、Huawei、Lenovo、LG、Motorola、Samsung、Siemens、Signify与Sony等公司。

对此IoTSF管理总监John Moor接受《EE Times》访问时指出：“我们虽然还没有针对该比例这么低的原因进行正式研究，但我认为首先是相关企业缺乏认知，因为很多公司都是才刚进入连网嵌入式系统领域；其次，也最重要的是，这个问题没有责任归属，因为没有相关法规，所以有些公司根本不想自找麻烦。”

但是，这其实花不了什么成本，最简单的安全漏洞通报系统只需要建立一个网页，相关企业缺乏认知是最大的问题。Moor表示，“连网嵌入式设备的激增，正强烈改变电子设计以及对现场支持的要求。”他指出，为那些老式的与“外界隔绝”的嵌入式设备添加连接性与软件功能，大大增加了系统以及它们连接对象的攻击面(attack surface)。

直到最近，安全漏洞通报程序都不是电子工程师或是他们的主管非常在意的事情，但这对于物联网设备来说是基本安全性要求。但就算是IoTSF调查中那44家拥有安全漏洞通报措施的公司，其通报程序也是五花八门而且复杂。

IoTSF报告显示，超过三分之一的相关企业并没有设置通报周期以取得最佳效果，其中只有4家设定了90天的修正安全性问题期限。在这44家厂商中只有不到一半提供某种形式的错误通报奖励──给予金钱上的奖励，能让“白帽子”们更愿意将发现到的安全漏洞通报该公司，而不是将之出售到“黑市”。

一项针对全球消费类物联网设备制造商的最新年度调查显示，拥有安全漏洞通报措施的业者比例，只比去年增加一点点。(图片来源：IoT Security Foundation)

“安全漏洞通报至关重要，”Moor强调：“如果你有一个能让任何人──包括客户、使用者、研究人员、“白帽子”──提供通报的管道，你就拥有了能及时修正问题的情报系统。”

即将制定的标准将带来强制规范

美国国土安全部(U.S. Department of Homeland Security)已经提出保护物联网设备安全的建议，美国国家标准暨技术研究院(NIST)也公布了一份“给物联网设备制造商的建议”；IoTSF则为物联网设备开发者们提供“安全设计最佳实例指南”。

包括欧洲电信标准协会(European Telecommunications Standards Institute，ESTI)等，则提案制定国际性的物联网安全标准；还有英国最近宣布将制定物联网安全法，将安全漏洞通报列为强制性规范。澳洲政府也有相关的行为准则提案。

“虽然这些标准提案不尽相同，基本上都在描述相同的事情；”Moor表示，目前实际可用的安全漏洞处理程序标准是ISO/IEC 30111，2014与2015年的版本已经免费公开，但2019年版则受版权保护：“这会带来虽然低但是值得注意的一个门坎。”

ETSI制定的标准预计今年夏天出炉，是以英国的消费类物联网安全性准则(UK Code of Practice for Consumer IoT Security)以及该准则的最低要求为基础，包括变更默认密码、设置安全漏洞通报措施，以及持续进行软件安全性更新等。

根据全球性调查，拥有符合即将出炉标准或法规的安全漏洞通报措施的欧洲企业比例，低于北美与亚洲的企业。(图片来源：IoT Security Foundation)

ETSI标准与英国法规的整体目标，是为物联网设备的网络安全性建立基线；相关标准的研究人员从消费类等级的设备起步，是因为这些产品的成本最低，安全性要求也没有像医疗、汽车、国家公共基础设施等应用要求那么高。

“如果连网设备制造商没有安全漏洞通报措施，它们根本不应该做连网设备生意；”Moor措词强硬地表示：“这对整个产业的成功以及终端使用者的安全至关重要，而且他们迟早得要有，因为强制性法规马上就要出现了。”

在此，也许您需要《物联网 (IoT) 安全通信模块 - 开发商培训课程》，SCA安全通信联盟竭诚为您服务。《物联网信息安全国际技术规范》安全芯片（SE）部分现已正式全球发布，在本公众号后台回复“国际标准”或“IoT PP”即可免费下载！

(原文发表于ASPENCORE旗下EDN姐妹媒体EETimes，参考链接：IoT Device Vendors: Why Resist Vulnerability Reporting?，编译：Judith Cheng)