物联网安全基金会(IoTSF)推出了一个在线平台,旨在帮助物联网供应商接收、评估、管理和缓解漏洞报告。VulnerableThings.com网站旨在简化漏洞的报告和管理,同时帮助物联网供应商遵守新的消费者物联网安全标准和法规。作为全球首个适用于消费者物联网网络安全的标准,新的ETSIEN303645规范要求物联网供应商(可能包括设备制造商或进口商/分销商)发布清晰透明的漏洞披露政策;建立内部漏洞管理程序;披露漏洞报告的联系信息;持续监控和识别产品中的安全漏洞。世界各地的政府,包括英国、澳大利亚、新加坡、芬兰以及美国加利福尼亚州和俄勒冈州,已经发布了与该标准一致的行为准则、产品标签制度或颁布的立法。实施接收漏洞报告的方法是这些举措的一个共同特征。如果没有报告、管理和解决漏洞的机制,例如协调漏洞披露(CVD),消费者物联网产品会随着时间的推移变得不那么安全,并且攻击或滥用的风险会增加。“漏洞管理是物联网网络卫生的一个基本要素,因此世界各国政府和监管机构将其作为一项强制性要求也就不足为奇了,”物联网安全基金会常务董事约翰摩尔说。“作为物联网安全领域的全球权威,IoTSF发布了漏洞披露最佳实践和行业状态报告。我们得出结论,行业必须采取更多措施来保护客户和自身业务。因此,我们认为有必要将其提升为关键安全实践,并致力于通过启动易受攻击的平台使其尽可能简单-特别是对于经验和资源很少的公司。该服务代表研究人员和供应商之间的良好沟通,并在整个过程中指导双方。我们正在试行测试可能的需求并为用户获取反馈的服务。”漏洞可能会危及用户安全和个人数据,并可能使物联网提供商违反数据保护法规。供应商未能响应报告的漏洞(无论是来自消费者还是专业安全研究人员)可能导致漏洞不受控制地公开披露,这增加了不良行为者攻击的风险。修复漏洞可以快速降低用户、设备、网络和物联网制造商面临的风险。英国政府数字基础设施部长马特沃曼评论道:“我欢迎这项帮助行业提高安全性的新举措物联网设备,为我们蓬勃发展的数字经济做出贡献,同时保护在线用户。我们希望每个人都对他们购买的联网产品具有更强的安全性充满信心,并正在努力制定该领域的立法以帮助实现这一目标。“VulnerableThings.com网站旨在提供随时可用、用户友好的漏洞管理工具和其他有价值的会员资源,包括政策模板、问题解决指南和专家顾问目录,以帮助物联网制造商为新的CVD必须是成功的物联网供应商文化的重要组成部分,需要被公司董事会、合规官、产品经理、产品开发经理、产品安全、供应链经理和公共关系了解和理解团队。支持。订阅漏洞的制造商可以访问一个仪表板,该仪表板将指导他们完成漏洞解决过程并促进与报告者的沟通。漏洞,警报将发送到制造商的公共电子邮件地址,然后制造商将获得通过访问V安全访问漏洞报告详细信息的机会ulnerableThings.VisitingVulnerableThings.com在2021年1月31日之前免费。订阅此服务还可以为协调披露公告提供专业支持。虽然任何人都可以匿名报告漏洞,但通过在VulnerableThings.com网站注册,安全研究人员将获得一个仪表板,使他们能够监控向不同制造商报告的漏洞的进展情况。进步。促进供应商和安全研究人员之间的对话将有助于物联网生态系统的成功。
