嵌入式設(shè)備比傳統(tǒng)軟件更危險(xiǎn) 代價(jià)更大
發(fā)布者:
czj3009 發(fā)布時(shí)間:2012-08-17 16:35:36
目前在安全方面最大挑戰(zhàn)之一是:操作系統(tǒng)和應(yīng)用程序?yàn)楹斡腥绱硕嗟陌踩┒?。雖然傳統(tǒng)軟件廠商在開發(fā)更有彈性的應(yīng)用程序方面已經(jīng)取得了進(jìn)步,但是,專家稱,嵌入式設(shè)備和系統(tǒng)(如植入式醫(yī)療設(shè)備和工業(yè)控制系統(tǒng))廠商在安全系統(tǒng)設(shè)計(jì)和開發(fā)的成熟度方面落后了好幾代。
安全服務(wù)提供商PerimeterE-Security的安全軟件專家和執(zhí)行副總裁約翰·別加(JohnViega)稱,在嵌入式和工業(yè)系統(tǒng)安全方面,未來(lái)可能有兩個(gè)結(jié)果。
別加稱,攻擊者開始利用SCADA(監(jiān)視控制和數(shù)據(jù)采集)系統(tǒng)披露的安全漏洞做一些可怕的事情。這將把注意力、規(guī)則和投資吸引到這個(gè)問題上來(lái)。
這是一個(gè)結(jié)果。另一個(gè)問題是這個(gè)挑戰(zhàn)長(zhǎng)時(shí)間地悄悄惡化,i沒有發(fā)生實(shí)質(zhì)問題。如果不發(fā)生這種類型的事件,這個(gè)問題本身不會(huì)迅速改正。在真正發(fā)生糟糕的事情之前,人們將變得麻木不仁。他們把這種威脅稱作是理論性的。然而,我們知道緩存溢出安全漏洞已經(jīng)有很長(zhǎng)時(shí)間之后人們才意識(shí)到這個(gè)風(fēng)險(xiǎn)是多么糟糕。
重要基礎(chǔ)設(shè)施安全軟件和服務(wù)提供商Wurldtech安全技術(shù)公司的首席技術(shù)官和創(chuàng)始人內(nèi)特·庫(kù)貝(NateKube)還認(rèn)為,人們對(duì)于目前的重要基礎(chǔ)設(shè)施的態(tài)度與人們?cè)?0年代末看待軟件安全的方式有相似之處。這些廠商直到最近才開始進(jìn)行負(fù)面測(cè)試。這些廠商會(huì)做協(xié)議及其實(shí)施的一致性測(cè)試,但是,他們不會(huì)在測(cè)試中放入惡意通訊以查看這個(gè)系統(tǒng)如何回應(yīng)。
據(jù)庫(kù)貝稱,嵌入式和重要基礎(chǔ)設(shè)施市場(chǎng)中的更多的廠商正在開始做經(jīng)典威脅建模和對(duì)自己的設(shè)備進(jìn)行風(fēng)險(xiǎn)分析等事情。但是,他們還不成熟,沒有達(dá)到開發(fā)正式的安全開發(fā)標(biāo)準(zhǔn)的程度。傳統(tǒng)軟件開發(fā)和嵌入式設(shè)備安全之間的問題是類似的。這就是工程團(tuán)隊(duì)從來(lái)沒有真正考慮這些問題。他們通常以為這些事情不是聯(lián)網(wǎng),或者網(wǎng)絡(luò)將是專用的。因此,他們不做這個(gè)事情。
在涉及到嵌入式和工業(yè)控制系統(tǒng)安全的時(shí)候,有許多事情是不同的。糟糕的系統(tǒng)設(shè)計(jì)的第一個(gè)后果是產(chǎn)生的社會(huì)風(fēng)險(xiǎn)要比傳統(tǒng)的軟件應(yīng)用程序產(chǎn)生的社會(huì)風(fēng)險(xiǎn)大得多。第二,如果有可能這樣做的話,事后更新這些系統(tǒng)將付出更多的代價(jià)。
庫(kù)貝稱,最終用戶不能修復(fù)嵌入式系統(tǒng)的漏洞。他們不僅不能在技術(shù)上修復(fù)漏洞,而且代價(jià)也非常高,使他們不能做這個(gè)事情。他們必須打電話讓他們的系統(tǒng)提供商或者集成商過(guò)來(lái)對(duì)嵌入式設(shè)備進(jìn)行固件升級(jí)。這些嵌入式系統(tǒng)正在控制一個(gè)龐大的復(fù)雜的流程,讓這些設(shè)備離線不是一件小事。
別加同意這個(gè)觀點(diǎn)。他說(shuō),嵌入式設(shè)備一旦部署到現(xiàn)場(chǎng),修復(fù)嵌入式設(shè)備的故障是非常昂貴的。與軟件系統(tǒng)相比,這個(gè)成本和困難都非常大。如果一家廠商發(fā)布一個(gè)補(bǔ)丁和宣布在他們的嵌入式設(shè)備中有一個(gè)安全漏洞,會(huì)發(fā)生什么事情呢?補(bǔ)丁不會(huì)廣泛地使用,因此,他們做的事情就是讓他們的用戶群面臨風(fēng)險(xiǎn)。
版權(quán)聲明:工控網(wǎng)轉(zhuǎn)載作品均注明出處,本網(wǎng)未注明出處和轉(zhuǎn)載的,是出于傳遞更多信息之目的,并不意味 著贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性。如轉(zhuǎn)載作品侵犯作者署名權(quán),或有其他諸如版權(quán)、肖像權(quán)、知識(shí)產(chǎn)權(quán)等方面的傷害,并非本網(wǎng)故意為之,在接到相關(guān)權(quán)利人通知后將立即加以更正。聯(lián)系電話:0571-87774297。