核心观点与关键数据
- 安全重要性:安全是跨行业的关键问题,嵌入式设备安全对企业整体安全至关重要。网络攻击来源多样,包括侧信道攻击、内存和总线攻击、冷启动攻击及网络攻击。
- 数据泄露现状:IdentityForce®报告显示,2019年前9个月全球超过79亿条数据记录泄露,同比增长33%。TechCrunch报道黑客攻击能源和电信公司,United States Cybersecurity Magazine指出31%的组织曾遭遇运营技术网络攻击。
- 调研结果:Electronic Design杂志调研发现,嵌入式系统安全是重要但具有挑战性的课题。受访者来自工业、医疗、国防、汽车等行业,63%的管理者和59%的个人贡献者认为设备故障或被接管是最大威胁。
- 安全要求来源:企业主要关注行业建议作为安全要求来源,其次是内部建议和政府机构建议。46%的高管认为公司投入10-24%的精力用于安全功能,但40%的个人贡献者认为不足9%。
研究结论
- 安全政策缺失:调查显示,首要障碍是确定资产安全程度,其次是实施复杂性、内部专业知识有限和预算限制。
- 生命周期认知差异:高管认为设计阶段最耗时(35%),而个人贡献者认为设计(30%)、实施(29%)和需求(24%)时间相当,维护(16%)最少。
- 安全实践认知偏差:60-66%的受访者认为监控设备安全事件重要,但仅32%的个人贡献者认为主动监控漏洞公告必要。近半数高管通过模拟工具测试,但近三分之二的公司仅做有限测试。
- 维护与检测不足:9-12%的公司不做安全维护更新,34%的受访者认为自己从未遭受过安全事件,但实际可能依赖客户发现漏洞。
安全计划建议
- 制定安全政策:建立基于CIA三要素(机密性、完整性、可用性)的安全政策,明确各阶段安全要求。
- 多层次防御:采用分层防御策略,结合DevSecOps和系统模拟,持续监控和缓解威胁。
- 持续维护:部署后持续更新和修补,确保设备长期安全。
风险与建议
- 高风险领域:医疗、工业、基础设施等领域设备故障可能导致灾难性后果,需高度重视。
- 解决方案:Wind River提供VxWorks、Linux、Helix虚拟化平台等安全软件,以及安全评估、专业服务和培训。
