物联网安全基金会(IoTSF)启动了一个旨在帮助物联网供应商接收,评估,管理和缓解漏洞报告的在线平台。 VulnerableThings.com 旨在简化漏洞的报告和管理,同时帮助物联网供应商遵守新的消费者物联网安全标准和法规。
作为消费者物联网网络安全的第一个全球适用标准,新的ETSI EN 303 645规范要求物联网供应商–其中可能包括设备制造商或进口商/分销商–发布清晰透明的漏洞披露政策;建立内部漏洞管理程序;公开提供漏洞报告的联系信息,并持续监视和识别其产品中的安全漏洞。
包括英国,澳大利亚,新加坡,芬兰以及美国加利福尼亚州和俄勒冈州在内的世界各国政府已经发布了业务守则,产品标签计划或制定了符合该标准的法规。采取一种接受漏洞报告的方法是这些计划的共同特征。如果没有报告,管理和解决漏洞的机制(例如,协调漏洞披露(CVD)),消费者物联网产品的安全性就会随着时间的流逝而降低,并且遭受攻击或滥用的风险也会增加。
VulnerableThings.com旨在提供现成的,用户友好的漏洞管理工具以及其他有价值的成员资源,包括策略模板,问题解决指南和专家顾问目录,以帮助物联网制造商为新兴法规做准备并保持合规性。 CVD必须成为成功的IoT供应商文化的重要组成部分,并且需要得到公司董事会,合规官,产品经理,产品开发经理,产品安全,供应链经理和公共关系团队的理解和支持。
订阅VulnerableThings的制造商将可以访问仪表板,该仪表板将指导他们完成漏洞解决过程并促进与报告者的通信。如果在尚未注册该服务的供应商的产品中报告了漏洞,则将向制造商的公共电子邮件地址发送警报,然后该制造商将有机会通过以下方式安全地访问漏洞报告的详细信息:脆弱的东西。在2021年1月31日之前可以免费访问VulnerableThings.com,订阅该服务还可以访问专业的协调披露公告支持。
尽管任何人都可以匿名报告漏洞,但通过在VulnerableThings.com上注册,安全研究人员将获得一个仪表板,该仪表板使他们可以监视解决向不同制造商报告的漏洞的进度。促进供应商与安全研究人员之间的对话将为物联网生态系统的成功做出贡献。
发表评论