近幾年,中國工業(yè)系統(tǒng)安全方面有了長足的發(fā)展,但是仍然暴露出很多安全問題,操作系統(tǒng)和應(yīng)用程序存在嚴(yán)重的安全漏洞。雖然傳統(tǒng)軟件廠商在開發(fā)更有彈性的應(yīng)用程序方面已經(jīng)取得了進(jìn)步,但是,嵌入式設(shè)備和系統(tǒng)(如植入式醫(yī)療設(shè)備和工業(yè)控制系統(tǒng))廠商在安全系統(tǒng)設(shè)計(jì)和開發(fā)的成熟度方面仍落后好幾代。
安全服務(wù)提供商Perimeter E-Security的安全軟件專家和執(zhí)行副總裁約翰·別加(John Viega)稱,在嵌入式和工業(yè)系統(tǒng)安全方面,未來可能有兩個(gè)結(jié)果。
別加稱,攻擊者開始利用SCADA(監(jiān)視控制和數(shù)據(jù)采集)系統(tǒng)披露的安全漏洞做一些可怕的事情。這將把注意力、規(guī)則和投資吸引到這個(gè)問題上來。http://m.qmwq.cn點(diǎn)膠機(jī)
這是一個(gè)結(jié)果。另一個(gè)問題是這個(gè)挑戰(zhàn)長時(shí)間地悄悄惡化,沒有發(fā)生實(shí)質(zhì)問題。如果不發(fā)生這種類型的事件,這個(gè)問題本身不會(huì)迅速改正。在真正發(fā)生糟糕的事情之前,人們將變得麻木不仁。他們把這種威脅稱作是理論性的。然而,我們知道緩存溢出安全漏洞已經(jīng)有很長時(shí)間之后人們才意識(shí)到這個(gè)風(fēng)險(xiǎn)是多么糟糕。
重要基礎(chǔ)設(shè)施安全軟件和服務(wù)提供商Wurldtech安全技術(shù)公司的首席技術(shù)官和創(chuàng)始人內(nèi)特·庫貝(Nate Kube)還認(rèn)為,人們對(duì)于目前的重要基礎(chǔ)設(shè)施的態(tài)度與人們?cè)?0年代末看待軟件安全的方式有相似之處。這些廠商直到最近才開始進(jìn)行負(fù)面測試。這些廠商會(huì)做協(xié)議及其實(shí)施的一致性測試,但是,他們不會(huì)在測試中放入惡意通訊以查看這個(gè)系統(tǒng)如何回應(yīng)。
據(jù)庫貝稱,嵌入式和重要基礎(chǔ)設(shè)施市場中的更多的廠商正在開始做經(jīng)典威脅建模和對(duì)自己的設(shè)備進(jìn)行風(fēng)險(xiǎn)分析等事情。但是,他們還不成熟,沒有達(dá)到開發(fā)正式的安全開發(fā)標(biāo)準(zhǔn)的程度。傳統(tǒng)軟件開發(fā)和嵌入式設(shè)備安全之間的問題是類似的。這就是工程團(tuán)隊(duì)從來沒有真正考慮這些問題。他們通常以為這些事情不是聯(lián)網(wǎng),或者網(wǎng)絡(luò)將是專用的。因此,他們不做這個(gè)事情。
在涉及到嵌入式和工業(yè)控制系統(tǒng)安全的時(shí)候,有許多事情是不同的。糟糕的系統(tǒng)設(shè)計(jì)的第一個(gè)后果是產(chǎn)生的社會(huì)風(fēng)險(xiǎn)要比傳統(tǒng)的軟件應(yīng)用程序產(chǎn)生的社會(huì)風(fēng)險(xiǎn)大得多。第二,如果有可能這樣做的話,事后更新這些系統(tǒng)將付出更多的代價(jià)。
庫貝稱,最終用戶不能修復(fù)嵌入式系統(tǒng)的漏洞。他們不僅不能在技術(shù)上修復(fù)漏洞,而且代價(jià)也非常高,使他們不能做這個(gè)事情。他們必須打電話讓他們的系統(tǒng)提供商或者集成商過來對(duì)嵌入式設(shè)備進(jìn)行固件升級(jí)。這些嵌入式系統(tǒng)正在控制一個(gè)龐大的復(fù)雜的流程,讓這些設(shè)備離線不是一件小事。
別加同意這個(gè)觀點(diǎn)。他說,嵌入式設(shè)備一旦部署到現(xiàn)場,修復(fù)嵌入式設(shè)備的故障是非常昂貴的。與軟件系統(tǒng)相比,這個(gè)成本和困難都非常大。如果一家廠商發(fā)布一個(gè)補(bǔ)丁和宣布在他們的嵌入式設(shè)備中有一個(gè)安全漏洞,會(huì)發(fā)生什么事情呢?補(bǔ)丁不會(huì)廣泛地使用,因此,他們做的事情就是讓他們的用戶群面臨風(fēng)險(xiǎn)。
