物联网安全基金会推出在线平台,以帮助物联网供应商报告和管理漏洞

物联网已经启动了一个旨在帮助物联网供应商接收,评估,管理和缓解漏洞报告的在线平台。 物联网安全基金会 (IoTSF)。 VulnerableThings.com旨在简化漏洞的报告和管理,同时帮助物联网供应商遵守新的消费者物联网安全标准和法规。

作为消费者物联网网络安全的第一个全球适用标准,新的ETSI EN 303 645规范要求物联网供应商–其中可能包括设备制造商或进口商/分销商–发布清晰透明的漏洞披露政策;建立内部漏洞管理程序;公开提供漏洞报告的联系信息;并持续监视和识别其产品中的安全漏洞。

包括英国,澳大利亚,新加坡,芬兰以及美国加利福尼亚州和俄勒冈州在内的世界各国政府已经发布了业务守则,产品标签计划或制定了符合该标准的法规。

采取一种接受漏洞报告的方法是这些计划的共同特征。如果没有报告,管理和解决漏洞的机制(例如,协调漏洞披露(CVD)),则消费者物联网产品的安全性会随着时间的流逝而降低,并且遭受攻击或滥用的风险也会增加。

物联网安全基金会董事总经理约翰·穆尔说:“漏洞管理是物联网网络卫生的基本要素,世界各地的政府和监管机构将其作为强制性要求也就不足为奇了。”

“作为全球领先的物联网安全专家机构,IoTSF已发布漏洞披露最佳实践和行业状况报告。我们的结论是,行业必须做更多的工作来保护其客户和自己的企业。

“因此,我们认为有必要推动这一至关重要的安全实践,并致力于通过推出Vulnerable Things平台来使其变得尽可能简单,尤其是对于那些缺乏资源的新手和公司。该服务中介了研究人员和供应商之间的良好沟通,并指导整个过程直至完成。”

“我们正在试用该服务,以测试可能的需求并为用户获得反馈。”

漏洞可能会使用户安全和个人数据受到威胁,并可能使物联网供应商违反数据保护法规。供应商未能响应报告的漏洞,无论是来自消费者还是来自专门的安全研究人员,都可能导致对该漏洞的公开披露不受控制,这将增加不良行为者发动攻击的风险。修复漏洞可立即降低对用户,设备,网络和物联网制造商的风险。

英国政府数字基础设施部长Matt Warman说:“我欢迎这项旨在帮助行业提高物联网设备安全性,促进新兴的数字经济,同时保护人们在线的倡议。

“我们希望每个人都有信心,他们所购买的互联网连接产品具有更强的安全性,并且正在致力于该领域的立法,以帮助实现这一目标。”

VulnerableThings.com旨在提供现成的,用户友好的漏洞管理工具以及其他有价值的成员资源,包括策略模板,问题解决指南和专家顾问目录,以帮助IoT制造商为新兴法规做准备并保持合规性。

CVD必须成为成功的IoT供应商文化的重要组成部分,并且需要得到公司董事会,合规官,产品经理,产品开发经理,产品安全,供应链经理和公共关系团队的理解和支持。

订阅VulnerableThings的制造商将可以访问仪表板,该仪表板将指导他们完成漏洞解决过程并促进与报告者的通信。

如果在尚未注册该服务的供应商的产品中报告了漏洞,则会向制造商的公共电子邮件地址发送警报,然后该制造商将有机会通过以下方式安全地访问漏洞报告的详细信息:易受伤害的事物。

在2021年1月31日之前可以免费访问VulnerableThings.com,订阅该服务还可以访问专业的协调披露公告支持。

尽管任何人都可以匿名报告漏洞,但通过在VulnerableThings.com上注册,安全研究人员将获得一个仪表板,该仪表板使他们可以监视解决向不同制造商报告的漏洞的进度。

促进供应商与安全研究人员之间的对话将为物联网生态系统的成功做出贡献。

分享这个