近幾年,中國工業系統安全方面有了長足的發展,但是仍然暴露出很多安全問題,操作系統和應用程序存在嚴重的安全漏洞。雖然傳統軟件廠商在開發更有彈性的應用程序方面已經取得了進步,但是,嵌入式設備和系統(如植入式醫療設備和工業控制系統)廠商在安全系統設計和開發的成熟度方面仍落后好幾代。
安全服務提供商Perimeter E-Security的安全軟件專家和執行副總裁約翰·別加(John Viega)稱,在嵌入式和工業系統安全方面,未來可能有兩個結果。
別加稱,攻擊者開始利用SCADA(監視控制和數據采集)系統披露的安全漏洞做一些可怕的事情。這將把注意力、規則和投資吸引到這個問題上來。http://www.d7d.com.cn點膠機
這是一個結果。另一個問題是這個挑戰長時間地悄悄惡化,沒有發生實質問題。如果不發生這種類型的事件,這個問題本身不會迅速改正。在真正發生糟糕的事情之前,人們將變得麻木不仁。他們把這種威脅稱作是理論性的。然而,我們知道緩存溢出安全漏洞已經有很長時間之后人們才意識到這個風險是多么糟糕。
重要基礎設施安全軟件和服務提供商Wurldtech安全技術公司的首席技術官和創始人內特·庫貝(Nate Kube)還認為,人們對于目前的重要基礎設施的態度與人們在90年代末看待軟件安全的方式有相似之處。這些廠商直到最近才開始進行負面測試。這些廠商會做協議及其實施的一致性測試,但是,他們不會在測試中放入惡意通訊以查看這個系統如何回應。
據庫貝稱,嵌入式和重要基礎設施市場中的更多的廠商正在開始做經典威脅建模和對自己的設備進行風險分析等事情。但是,他們還不成熟,沒有達到開發正式的安全開發標準的程度。傳統軟件開發和嵌入式設備安全之間的問題是類似的。這就是工程團隊從來沒有真正考慮這些問題。他們通常以為這些事情不是聯網,或者網絡將是專用的。因此,他們不做這個事情。
在涉及到嵌入式和工業控制系統安全的時候,有許多事情是不同的。糟糕的系統設計的第一個后果是產生的社會風險要比傳統的軟件應用程序產生的社會風險大得多。第二,如果有可能這樣做的話,事后更新這些系統將付出更多的代價。
庫貝稱,最終用戶不能修復嵌入式系統的漏洞。他們不僅不能在技術上修復漏洞,而且代價也非常高,使他們不能做這個事情。他們必須打電話讓他們的系統提供商或者集成商過來對嵌入式設備進行固件升級。這些嵌入式系統正在控制一個龐大的復雜的流程,讓這些設備離線不是一件小事。
別加同意這個觀點。他說,嵌入式設備一旦部署到現場,修復嵌入式設備的故障是非常昂貴的。與軟件系統相比,這個成本和困難都非常大。如果一家廠商發布一個補丁和宣布在他們的嵌入式設備中有一個安全漏洞,會發生什么事情呢?補丁不會廣泛地使用,因此,他們做的事情就是讓他們的用戶群面臨風險。
