研究人员敦促IOT安全立法
迪拜健康权威推出了GP咨询的虚拟健康应用程序
常问问题:企业面临另一个Windows 10升级
Abbey Road Studios持有就职Hackathon活动推动穆斯特科创新
面试:米奇斯泰纳,董事总经理,Innogy Innovation Hub以色列
微软:过去的补丁地址泄露了NSA漏洞利用
机器人为荷兰邮政服务提供节省
形状移位机器人可能是行星勘探的关键
Facebook的Caffe2 AI工具来到iPhone,Android和Raspberry PI
Facebook启动了捕获360视频内部VR内部的工具
McAfee研究人员发现“重要”间谍活动
报告发现,威尔士NHS IT计划是“过时”,并将患者放在风险上,发现
帮助统计看起来扩大谁是企业的社交媒体
Crunchbase升起了到处送交商业信息
如果软件吃了一切,是菜单上的网络工程师吗?
东芝的内存Biz销售吸引了许多,包括苹果
3D NAND占据所有闪存生产的一半
Lloyds将核心银行技术从谷歌启发英国金融气中使用
未来的汽车将如何保持最新?让他们像PC一样打开
惠普与新加坡工业大学联系4.0
印度最高法院听到生物识别认证系统的挑战
微软推动了Redstone 3,下一个大型Windows 10更新
中国保险巨头将云服务扩展到其他部门
英国消费者表示,糟糕的Wi-Fi连接对家庭生活的损坏
移动安全性需要5G时代的重新思考
Microsoft在CRM Integration中发现了LinkedIn的另一个用途
在Dockercon,另一个PR失败故事
Cisco / AppDynamics升级在App Management中拓宽Devops角色
研究人员从柔性材料构建微处理器
Top Cyber​​ Cop说,网络犯罪最大危害
Azure超越了AWS作为首选的公共云
无用的恶意软件激增,警告MalwareBytes报告
BT宣布新的安全业务负责人
Julie Larson-Green作为Microsoft Office首席体验官员占地
没有更多赎金发布的Gandcrab解密工具
英国未能制定最高的egovernment排名
Microsoft在Windows 10中插入新的电源节省
家庭办公室“认真”被认为是esn关闭
ASOS在Google Assistant上发起语音购物
Dridex Gang使用未分割的Microsoft Word漏洞利用以目标数百万
电子商务网站警告了DDOS威胁
这款坚固耐用的AR眼镜类似于谷歌玻璃,但不会破裂
Android从Windows中抓住最受欢迎的OS奖
Elastifile Cleartier允许卷发工作负载云分层
黑莓赢得了高级皇室的8.15亿美元
Raspberry PI 3获取Microsoft Cortana与Windows 10创建者更新
你的手机的传感器可以窥探你 - 这是怎么回事
荷兰审计查找Microsoft Office泄漏机密数据
挑战银行签署谷歌灵感平台
零信任安全性不是一个现成的产品
您的位置:首页 >产品 > 商业评论 >

研究人员敦促IOT安全立法

2021-08-17 11:44:04 [来源]:

根据笔在线测试合作伙伴的安全研究员Ken Munro的说法,大多数供应商都在他们的智能产品中通知其智能产品中的安全和隐私问题,并没有任何努力,这是笔在线测试合作伙伴的高级伙伴,专门从事事物互联网(IOT)设备的安全性。

“我已经花了过去五年的炫耀智能产品制造商,并试图影响行为,使产品更安全,但是,我已经失败了,因为智能设备的安全性实际上变得更糟,”他告诉EEMA在布鲁塞尔的ISSE 2018网络安全会议。

Munro和他的同事在包括三星智能电视,包括三菱外地车辆,Cayla互动娃娃,ikettle和Theswann家庭安全摄像头的门锁,包括三星智能电视,门锁,包括Samsung Smart TV。

虽然一些较大的品牌,如魔戒现在拥有的戒指和迪斯尼许可的BB-8玩具制造商Sphero,但是Munro表示,Munro表示,大多数供应商都是第三次购买的初创公司或更大的品牌购买-Party产品。

“这些组织通常没有资源,它从未达到过雷达做安全 - 这就是为什么我认为我们需要有一些大棍子来确保制造商处于一些非常基本的安全性,”他说。

当发现安全漏洞时,笔测试合作伙伴遵循负责任披露的政策,给制造商提供有机会在与调查结果公开之前修复它。

“我对几乎每一个物联网供应商的经验我们曾披露过 - 我们在过去的四年里每周做两到三个披露 - 这是他们只是忽略了我们,没有任何事情发生,他们继续销售产品,利于他们的产品让人们脆弱,“Munro说。

虽然IOT通常在消费产品方面被认为,但他指出,一些物联网系统被广泛用于商业环境中,例如控制加热,冷却,门锁和火警的建筑管理系统。

“企业介绍他们在其环境中的IOT设备非常重要。IT和服务之间的差距通常会为技术造成问题的机会,因此有一些关键问题企业需要询问供应商,零售商,硬件制造商,以便您知道您是否正在购买良好的产品或充满安全漏洞的产品。“

Munro表示,他能够在线购买企业管理系统的控制器,并能够找到漏洞,可以利用嵌入式服务器的密码,使攻击者能够完全控制建筑物管理系统。

“根据Shodan的说法,互联网上的嵌入式设备的搜索引擎,数百个这些控制器已被第三方安装程序投入组织,并直接在互联网上进行远程访问和控制,这意味着攻击者可以做像解锁一样的事情他说,门并掀起了火灾警报,以强迫建筑物疏散。“

Munro甚至发现,一些设备已被感染了Cryto-Mining Malware,以为网络犯罪分子生成加密货币。

最近,他说笔测试合作伙伴一直在努力第三方汽车警报。“到目前为止,我们认为,超过五万辆汽车可以定位,解锁和发动机开始并赶走,所以一般来说,物联网安全是一场火车残骸,”他说。

Munro表示,在发生的一些好事中,Munro表示,Cayla娃娃已被禁止在德国被禁止,因为该设备违反了电信隐私法,并受到几个消费者保护组织的行动。

“挪威消费者委员会有几个零售商禁止的娃娃,这表明你可以通过商业伤害他们的伤害供应商来表现,而英国的一些大型信誉额度零售商开始拒绝拒绝易受伤害的产品,而在美国,他们是他说,望着阻止美国政府和机构购买不安全的产品,“他说。

虽然这是一个很好的开始,但Munro说还有很长的路要走,他希望看到一些基本的监管。

到目前为止,英国迄今已停止监管,选举由2018年10月的设计自愿惯例(COP)的设计自愿守则(COP)发布安全,由数字,文化,媒体和体育(DCMS)和国家网络安全中心开发(NCSC)。

虽然缔约方会议的最终版本在主要不变的版本中,但已经修订,以确保遵守欧盟一般数据保护规例(GDPR)和英国新的GDPR-SengetData保护部门将来促进监管实施。

Munro表示,与COMPER表示,他对缔约方会议的初步草案感到不舒服,因为如果拒绝遵守指导方针,它就没有解决执法。

“然而,最终的实践准则表明,可以将诸如GDPR等现有立法如何抵御稳定稳定的智能产品。

“警察是一个伟大的开始,但还有更多的要做,”他说。“我希望在英国的IOT竞技场中看到新的主要立法,但这需要时间。让HOP指导与制造商一起睡觉也是合理的。如果他们没有开始改变行为,那就是规则的时间。“

Munro认为消费者返回易受培养的智能产品的权利将为制造商创造财务激励,以提高安全性,因为促进弱势群体的零售商将通过交易标准立法支持的零售商。他还希望看到制造商提供产品安全更新的产品的可预见的产品。

“我认为在产品中展示安全性实际上会推动销售,因为如果有人可以购买智能恒温器并知道它是安全的,那将增加市场销售,”Munro告诉ISSE与会者。

然而,拟议的欧洲网络安全法仅涵盖公司和医疗器械,包括关键的国家基础设施,但目前是消费者设备的自愿,他说。

“这是一个真正的耻辱,因为消费者设备与威胁一样多,因为我们已经显示了攻击者如何聚合智能恒温器并采取电网。我认为我们必须引入规定 - 我们别无选择。“

MUNRO表示,联邦政府目前经过参议院购买的联邦政府购买的IOT设备的BIPARTISAN账单是一个“明亮指南”,列出了七种基本要求,“甚至定义固件”。

“这很简单,我们可以从中学习这么多,”他说。“它会让我们说这就是我们想要的,然后我们可以开始建立下一层的认证和下一层法规 - 但是让我们先做基础。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。