如何保障科技產(chǎn)品供應(yīng)鏈的安全?
你能想像警察局、審訊室,或是在其他布置著警用攝像頭的場(chǎng)所,一個(gè)黑客可以監(jiān)視這一切嗎?美國一家警用隨身攝像頭供應(yīng)商,最近被在其設(shè)備上被檢測(cè)出惡意軟件--飛客蠕蟲病毒。而且,這款7年前就出現(xiàn)的老計(jì)算機(jī)病毒
你能想像警察局、審訊室,或是在其他布置著警用攝像頭的場(chǎng)所,一個(gè)黑客可以監(jiān)視這一切嗎?
美國一家警用隨身攝像頭供應(yīng)商,最近被在其設(shè)備上被檢測(cè)出惡意軟件--飛客蠕蟲病毒。而且,這款7年前就出現(xiàn)的老計(jì)算機(jī)病毒感染了這家制造商的多款攝像頭。
飛客蠕蟲病毒自第一個(gè)變種開始橫行以來已經(jīng)7年,其長(zhǎng)久不衰的事實(shí)證明了它是一款非常難以根除的病毒。如果未受防護(hù)的系統(tǒng)連接上了這些受到感染的設(shè)備,也很有可能被感染。也就是說,警察局的計(jì)算機(jī)系統(tǒng)可能早已被感染。
隨著互聯(lián)網(wǎng)持續(xù)深入,日常工作和生活的各種設(shè)備制造商,遵從嚴(yán)格的安全協(xié)議這一點(diǎn)變得愈加重要。但如果產(chǎn)品是在海外制造的,制造商在保證用戶的安全方面又該承擔(dān)起哪些責(zé)任呢?
一些事實(shí)
前國家安全局承包商愛德華·斯諾登泄露的文件詳細(xì)描述了美國情報(bào)機(jī)構(gòu)攔截電子硬件設(shè)備的貨運(yùn),植入監(jiān)視程序后再重新發(fā)往目的地的所作所為。
另一起攻擊事件中,某國一家條形碼掃描器供應(yīng)商在往至少8家公司發(fā)送的設(shè)備中植入了高級(jí)惡意軟件。據(jù)安全公司披露,這起攻擊事件很可能是該國政府支持的工業(yè)間諜行動(dòng)的一部分。
無論有意攻擊還是無意感染,這類事件都凸顯出供應(yīng)商和制造商都需要做出更多努力來保衛(wèi)他們的客戶免遭網(wǎng)絡(luò)攻擊。
但目前的事實(shí)表示,在保證產(chǎn)品安全上,制造商們做的遠(yuǎn)遠(yuǎn)不夠,攻擊者可以輕易染指這些設(shè)備。
供應(yīng)商必需配合
公司企業(yè)要做的第一步,就是要求他們的供應(yīng)商遵從與他們一致的安全標(biāo)準(zhǔn)和策略。盡管這一努力可能需要花費(fèi)時(shí)間,培養(yǎng)供應(yīng)商達(dá)到他們客戶的產(chǎn)品安全期望是一個(gè)好的開始。只要明確告知,大多數(shù)生產(chǎn)商都會(huì)切實(shí)遵從客戶的要求。
而且,供應(yīng)商需要了解,安全是任何聯(lián)網(wǎng)產(chǎn)品都需要的特性之一。雖然將產(chǎn)品快速推向市場(chǎng)和讓產(chǎn)品具有恰當(dāng)?shù)奶匦院苊黠@是成功必需品,但保證產(chǎn)品和客戶數(shù)據(jù)的安全正逐漸成為任何開發(fā)工作的關(guān)鍵組成部分。
管控到位以保證即將推向市場(chǎng)的產(chǎn)品的安全,很明顯是制造商的責(zé)任。
建立安全開發(fā)過程
達(dá)到適當(dāng)?shù)陌踩^非易事,但隨著今天人們對(duì)信息技術(shù)的巨大依賴,軟件和技術(shù)供應(yīng)商需要更多的努力以保護(hù)他們的設(shè)備。如,開發(fā)者應(yīng)該遵從安全的軟件開發(fā)過程。
類似于SafeCODE的軟件保障評(píng)估原則和其他諸如安全成熟度模型(BSIMM),都將對(duì)這一過程帶來極大的幫助。雖然對(duì)很多供應(yīng)商而言,這將是一個(gè)新的領(lǐng)域。畢竟對(duì)于整個(gè)產(chǎn)業(yè)來說,并沒有像蘋果和微軟那樣在過去20年里一直遭受惡意軟件困擾,也因此沒能學(xué)到這些教訓(xùn)。
一旦公司企業(yè)創(chuàng)立了改進(jìn)產(chǎn)品安全的過程,或者作為消費(fèi)者有了檢查供應(yīng)商產(chǎn)品安全的習(xí)慣,培訓(xùn)和再培訓(xùn)就能幫助將安全理念灌輸進(jìn)開發(fā)者的工作方式中。
當(dāng)然,即便做到每件事也不能保證絕對(duì)的網(wǎng)絡(luò)安全,不能保證攻擊者無法找到新的方法突破我們的系統(tǒng)。
安全是一種能力,更是一個(gè)對(duì)抗過程。
責(zé)任編輯:大云網(wǎng)
免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請(qǐng)讀者僅作參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。
我要收藏
個(gè)贊
-
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
山東特高壓首次完成帶電消缺 確保電力安全穩(wěn)定迎峰度冬
-
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
山東特高壓首次完成帶電消缺 確保電力安全穩(wěn)定迎峰度冬
-
繞過安卓SSL驗(yàn)證證書的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò) -
計(jì)算機(jī)病毒常用分析方法
2016-05-13
-
Windows 10首發(fā) 四大安全提升
-
超級(jí)安卓漏洞 “寄生獸”影響數(shù)千萬手機(jī)應(yīng)用
-
航空公司首出現(xiàn)操作系統(tǒng)被黑
2015-06-23航空公司
-
“企業(yè)應(yīng)急響應(yīng)和反滲透”之真實(shí)案例分析
-
攜程恢復(fù)正常 安全,我們準(zhǔn)備好了嗎?
2015-05-29攜程 -
一張圖讀懂《2014年消費(fèi)者個(gè)人信息網(wǎng)絡(luò)安全報(bào)告》