Answers:
UL(以前的Underwriters Laboratories)提供了“ 网络安全保证计划”,以证明物联网设备可以免受大多数主要威胁的侵害。
根据Ars Technica的说法,UL似乎在其认证过程中受到高度尊重:
UL是一家具有122年历史的安全标准组织,其各种标志(UL,ENEC等)证明了电线,清洁产品甚至膳食补充剂等各个领域的最低安全标准,现在正致力于解决互联网的网络安全问题。具有最新UL 2900认证的物联网(IoT)设备。
UL将其认证描述为涉及:
- 对产品进行模糊测试,以识别所有界面上的零日漏洞
- 使用通用漏洞枚举(CVE)方案评估尚未修补的产品上的已知漏洞
- 识别产品上已知的恶意软件
- 静态源代码分析,由通用弱点枚举(CWE)识别软件弱点
- 静态二进制分析,用于通过通用弱点枚举(CWE),开源软件和第三方库识别的软件弱点
- 确定用于产品的特定安全控制措施可降低安全风险[...]
- 根据其他测试中发现的缺陷进行结构化的产品渗透测试
- 产品中设计的缓解产品安全风险的风险评估。
但是,如Ars Technica指出(并批评),尚不清楚UL仔细检查设备的确切过程(除非您付费购买全套规格)。
当Ars要求提供一份UL 2900文档的副本以仔细研究该标准时,UL(前身为Underwriters Laboratories)拒绝了,这表明如果我们希望购买副本,零售价约为600英镑/ 800美元(整版)。设置-我们欢迎这样做。我们必须假设,独立安全研究人员也欢迎成为UL零售客户。
尽管UL受到尊重,但我们可以认为,尽管确实满足了最初的问题,但如果没有进一步的审查,就不能认为它们的认证在安全性方面特别可靠。
不幸的是,我找不到用于安全性的任何开放标准/证书,尽管这很可能是因为所需资源对于非营利协会而言太大了。
我想补充一下Aurora0001的答案,即我们只能防御已知的威胁。
最近,我们已经看到针对硬件的Spectre和Meltdown攻击。虽然英特尔CPU在物联网设备中并不常用,但将来我们可能会发现物联网硬件的安全问题。以前,我们已经将Rowhammer和Heartbleed视为一般的系统级错误,影响了大量的系统。随着物联网的发展,我相信看到此类漏洞将变得更加普遍。
因此,我将重点放在安全认证上,而不是:
如果声明设备长期处于支持状态,并且默认情况下在出现新版本时自动更新软件,则可以减少安全问题的影响。认证只会告诉您产品出厂时没有已知的安全错误。