[嵌入式]消费者物联网：漏洞披露实践“低得无法接受”

物联网安全基金会的一份新报告强调，近 80% 的消费者物联网 (IoT) 公司没有使用漏洞披露来报告安全问题。这项措施被视为供应商对安全性的重视程度的代表，这清楚地表明，要帮助消费者在设备连接到互联网时保持安全，还有很长的路要走。

该报告是 2018 年开始的系列报告中的第四份，研究了消费者物联网中漏洞披露的实践——扩展到企业和 B2B 模型。它通常被视为该行业的网络安全进度晴雨表，因为漏洞披露 - 或在公共渠道宣传可以报告并修复安全漏洞 - 被认为是任何公司向互联市场销售产品的基本卫生机制。

然而，报告称，尽管同比略有改善，但进展仍然缓慢。在接受调查的 315 家公司中，只有 21 家公司能够满足预期的监管要求，例如 ETSI 欧洲标准 (EN) 303 645 和 ISO/IEC 29147:2018 漏洞披露，以及美国 2020 年物联网网络安全改进法案。

IoTSF 报告漏洞披露绿名单公司
在接受调查的 315 家公司中，只有 21 家公司在绿名单上——这些公司能够满足预期的监管要求。
（来源：物联网安全基金会）
IoT 安全基金会董事总经理 John Moor 表示：“我们的共同目标是让 100% 的联网产品 (IoT) 供应商实践良好的安全卫生——在数字化转型时代仅实现 21.6% 只是支持这一呼吁市场监管。”

他说，通过测试的人数少得令人无法接受。“几乎五分之四的公司仍未提供非常基本的安全卫生机制，无法将安全漏洞报告给供应商，以便修复。”

Moor 补充道：“对于所有物联网供应商而言，制定漏洞披露计划的重要性再怎么强调也不为过——这确实是确保用户安全和保护互联产品和服务的重要机制。我们最近还发布了我们修订后的最佳实践指南以及本报告，两者均来自 IoTSF 网站。真的没有无知的借口——尤其是在世界各地的监管要求很快就会强制执行的情况下。”

该研究背后的公司 Copper Horse 的首席执行官大卫·罗杰斯 (David Rogers) 表示：“该报告提供了可衡量的证据，表明物联网制造商和品牌对总体安全性的态度松懈。这些公司无处可躲——可以使用国际标准，协调漏洞披露是公认的良好安全实践。全球消费者面临的问题是：‘如果这些公司不注意安全，我为什么要从他们那里购买产品？’”

IoTSF 报告漏洞披露 - 小米示例
报告产品安全问题应该变得简单，以便供应商可以尽快开始应用修复程序。协调的漏洞披露政策涵盖流程的所有阶段，从宣传正确的联系点，到修复任何问题的时间表以及对发现的任何错误的识别。这显示了小米网站的一个例子。（来源：物联网安全基金会）
报告产品安全问题应该变得简单，以便供应商可以尽快开始应用修复程序。协调的漏洞披露政策涵盖流程的所有阶段，从宣传正确的联系点，到修复任何问题的时间表以及对发现的任何错误的识别。因此，漏洞披露政策是一份公开可用的文件，通常通过供应商的报告网页访问，作为表明他们将如何处理传递给供应商的任何漏洞报告的声明。

调查中的许多具有漏洞披露政策的公司似乎都遵循协调漏洞披露 (CVD) – 与安全研究人员沟通并使安全研究人员了解情况，并允许调查结果公开（例如，在会议上）一次已应用修复。最后一步——披露漏洞——被认为很重要，因为它可以让安全研究人员的努力得到认可，并且可以在促进他们的职业生涯中发挥重要作用，同时保护公众免受漏洞的恶意利用。

然而，尽管有好处和积极的宣传，但约有 7.4% 的拥有公共政策的公司（68 家中的 5 家）选择保持自己的安全工作和报告漏洞的安全研究人员的安全工作，通过坚持’非公开’。如果管理得当，公开披露通常被视为良好做法，而私下处理——虽然可以接受——错过了建立市场意识和信任的机会。

在本报告的整个生命周期中，研究人员观察到，往往拥有有效 CVD 计划的公司通常是大型、成熟的科技公司。然而，在这一群体之外，保单覆盖范围要小得多。

IoTSF 按类别报告漏洞披露
按类别披露漏洞的公司。（来源：物联网安全基金会）
报告称，在添加可穿戴设备等类别时，传统上不以技术为重点的公司，如生产智能手表的时尚公司（如 Fossil 和 Armani），突然面临发布物联网产品的所有安全期望和挑战. 与 2020 年一样，在漏洞披露方面表现较好的行业是电视、Wi-Fi 和网络、移动、集线器和笔记本电脑、PC 和平板电脑。这些都是大型知名科技公司的类别，如索尼、松下、三星、LG、谷歌、微软、戴尔、联想、亚马逊、罗技、苹果和其他全球品牌。

照明、安全、智能家居和可穿戴设备等类别——包括更加多样化的公司——在提供政策细节方面继续表现不佳。同样，该报告还发现宠物护理、维护、安全、休闲和爱好等行业的采用率较低——在这些情况下，这可能表明该信息并未到达处于 IT 边缘的公司。有趣的是，工作场所类别还显示可访问的漏洞披露政策信息水平较低。这里的产品包括打印机和市场上相对较新的设备，如智能笔。虽然有一些安全细节可用，但他们经常描述物联网提供商如何将任何问题通知客户，而不是解决另一个方向的通信问题。
相关实战：https://www.99qibang.cn/information/fc1a99c2a66c4d03b9833e13ca574ea2.html
https://www.99qibang.cn/information/d570b5b4f986472c858ce3a24167c90c.html
https://www.99qibang.cn/information/30976f00fd924776a20f286f81ed7682.html
https://www.99qibang.cn/information/369ed2b4c8764e51a5cac5f0936bb4bd.html
https://www.99qibang.cn/information/72075e874e054319a56897f5f23f9364.html