嵌入式設(shè)備比傳統(tǒng)軟件更危險 代價更大
發(fā)布者:
czj3009 發(fā)布時間:2012-08-17 16:35:36
目前在安全方面最大挑戰(zhàn)之一是:操作系統(tǒng)和應(yīng)用程序為何有如此多的安全漏洞。雖然傳統(tǒng)軟件廠商在開發(fā)更有彈性的應(yīng)用程序方面已經(jīng)取得了進步���,但是�����,專家稱����,嵌入式設(shè)備和系統(tǒng)(如植入式醫(yī)療設(shè)備和工業(yè)控制系統(tǒng))廠商在安全系統(tǒng)設(shè)計和開發(fā)的成熟度方面落后了好幾代�。
安全服務(wù)提供商PerimeterE-Security的安全軟件專家和執(zhí)行副總裁約翰·別加(JohnViega)稱,在嵌入式和工業(yè)系統(tǒng)安全方面���,未來可能有兩個結(jié)果�����。
別加稱�����,攻擊者開始利用SCADA(監(jiān)視控制和數(shù)據(jù)采集)系統(tǒng)披露的安全漏洞做一些可怕的事情����。這將把注意力、規(guī)則和投資吸引到這個問題上來�����。
這是一個結(jié)果����。另一個問題是這個挑戰(zhàn)長時間地悄悄惡化,i沒有發(fā)生實質(zhì)問題�����。如果不發(fā)生這種類型的事件��,這個問題本身不會迅速改正�����。在真正發(fā)生糟糕的事情之前����,人們將變得麻木不仁��。他們把這種威脅稱作是理論性的�。然而�,我們知道緩存溢出安全漏洞已經(jīng)有很長時間之后人們才意識到這個風(fēng)險是多么糟糕�。
重要基礎(chǔ)設(shè)施安全軟件和服務(wù)提供商Wurldtech安全技術(shù)公司的首席技術(shù)官和創(chuàng)始人內(nèi)特·庫貝(NateKube)還認為,人們對于目前的重要基礎(chǔ)設(shè)施的態(tài)度與人們在90年代末看待軟件安全的方式有相似之處����。這些廠商直到最近才開始進行負面測試。這些廠商會做協(xié)議及其實施的一致性測試��,但是�����,他們不會在測試中放入惡意通訊以查看這個系統(tǒng)如何回應(yīng)�。
據(jù)庫貝稱,嵌入式和重要基礎(chǔ)設(shè)施市場中的更多的廠商正在開始做經(jīng)典威脅建模和對自己的設(shè)備進行風(fēng)險分析等事情�。但是,他們還不成熟����,沒有達到開發(fā)正式的安全開發(fā)標準的程度。傳統(tǒng)軟件開發(fā)和嵌入式設(shè)備安全之間的問題是類似的���。這就是工程團隊從來沒有真正考慮這些問題���。他們通常以為這些事情不是聯(lián)網(wǎng)���,或者網(wǎng)絡(luò)將是專用的。因此�,他們不做這個事情。
在涉及到嵌入式和工業(yè)控制系統(tǒng)安全的時候�����,有許多事情是不同的�����。糟糕的系統(tǒng)設(shè)計的第一個后果是產(chǎn)生的社會風(fēng)險要比傳統(tǒng)的軟件應(yīng)用程序產(chǎn)生的社會風(fēng)險大得多����。第二,如果有可能這樣做的話�,事后更新這些系統(tǒng)將付出更多的代價���。
庫貝稱��,最終用戶不能修復(fù)嵌入式系統(tǒng)的漏洞���。他們不僅不能在技術(shù)上修復(fù)漏洞���,而且代價也非常高,使他們不能做這個事情�����。他們必須打電話讓他們的系統(tǒng)提供商或者集成商過來對嵌入式設(shè)備進行固件升級����。這些嵌入式系統(tǒng)正在控制一個龐大的復(fù)雜的流程,讓這些設(shè)備離線不是一件小事�����。
別加同意這個觀點。他說���,嵌入式設(shè)備一旦部署到現(xiàn)場��,修復(fù)嵌入式設(shè)備的故障是非常昂貴的�。與軟件系統(tǒng)相比��,這個成本和困難都非常大�����。如果一家廠商發(fā)布一個補丁和宣布在他們的嵌入式設(shè)備中有一個安全漏洞����,會發(fā)生什么事情呢?補丁不會廣泛地使用���,因此�����,他們做的事情就是讓他們的用戶群面臨風(fēng)險。
版權(quán)聲明:工控網(wǎng)轉(zhuǎn)載作品均注明出處��,本網(wǎng)未注明出處和轉(zhuǎn)載的�����,是出于傳遞更多信息之目的,并不意味 著贊同其觀點或證實其內(nèi)容的真實性�����。如轉(zhuǎn)載作品侵犯作者署名權(quán)����,或有其他諸如版權(quán)��、肖像權(quán)�、知識產(chǎn)權(quán)等方面的傷害����,并非本網(wǎng)故意為之,在接到相關(guān)權(quán)利人通知后將立即加以更正�。聯(lián)系電話:0571-87774297�����。
