核心观点与关键数据
引言与方法论
本研究由Electronic Design于2020年6月8日至28日进行,通过在线调查收集数据,共获得147份有效问卷。研究方法符合市场调研规范,通过向Electronic Design用户发送邀请参与在线调查,并设置奖励机制提高参与率。
受访者画像
- 职位分布:超过50%的受访者为嵌入式系统工程师,43%为管理层,24%为执行层。
- 行业分布:受访者来自多个行业,包括汽车、医疗、工业、航空航天等,其中汽车行业占比最高(31%)。
关键发现
- 最大安全威胁:59%的受访者认为设备故障或被接管是最大威胁,执行层则更关注凭证被盗(3%)。
- 安全需求来源:行业推荐(37%)是最主要来源,其次是内部(31%)和政府机构(31%)。
- CVE关注度:40%的受访者表示组织高度关注CVE,执行层关注比例更高(46%)。
- 设计阶段安全考量:访问控制(40%)、认证(38%)和数据完整性(37%)是最重要的设计考虑因素。
- 安全主要障碍:执行层认为“如何确定足够的安全程度”是主要障碍(35%),管理层则认为“整体复杂性”(35%)是关键。
- 安全实践:65%的受访者认为“监控设备安全事件”最适用于嵌入式系统开发。
- 核心安全原则:51%的受访者强调“完整性”,即维护设备内容的一致性。
- 漏洞检测方式:60%的执行层通过实验室模拟威胁测试检测漏洞,33%的受访者表示从未遭遇安全事件。
- 合规文档需求:59%的受访者要求供应商提供渗透测试结果和测试文档,52%的执行层希望获得第三方认证(如FIPS 140-2)。
- AI应用前景:44%的执行层认为AI将在设备部署时用于攻击识别和通知。
- 安全测试方法:65%的执行层使用模拟工具测试,47%的团队在部署前进行“黑客马拉松”。
- 安全维护方式:71%的受访者通过手动更新处理安全维护,仅12%采用远程更新。
- 敏感数据存储:43%的受访者使用非易失性存储(如NOR/NAND Flash),21%使用自加密驱动。
- 操作系统偏好:执行层倾向实时操作系统(62%),其他层级则更分散(企业级Linux、嵌入式Linux等)。
结论
嵌入式设备安全面临的主要挑战包括设备被接管、安全需求来源多样化、设计阶段安全考虑不足等。执行层更关注高级威胁检测和第三方认证,而管理层则聚焦于整体复杂性和资源限制。AI和模拟测试被视为未来重要方向,但安全维护仍以手动方式为主,表明行业需加强自动化和远程更新能力。
