美國一家警用隨身攝像頭供應(yīng)商，最近被在其設(shè)備上被檢測出惡意軟件--飛客蠕蟲病毒。而且，這款7年前就出現(xiàn)的老計(jì)算機(jī)病毒感染了這家制造商的多款攝像頭。

 

飛客蠕蟲病毒自第一個(gè)變種開始橫行以來已經(jīng)7年，其長久不衰的事實(shí)證明了它是一款非常難以根除的病毒。如果未受防護(hù)的系統(tǒng)連接上了這些受到感染的設(shè)備，也很有可能被感染。也就是說，警察局的計(jì)算機(jī)系統(tǒng)可能早已被感染。

 

隨著互聯(lián)網(wǎng)持續(xù)深入，日常工作和生活的各種設(shè)備制造商，遵從嚴(yán)格的安全協(xié)議這一點(diǎn)變得愈加重要。但如果產(chǎn)品是在海外制造的，制造商在保證用戶的安全方面又該承擔(dān)起哪些責(zé)任呢？

 

 

前國家安全局承包商愛德華·斯諾登泄露的文件詳細(xì)描述了美國情報(bào)機(jī)構(gòu)攔截電子硬件設(shè)備的貨運(yùn)，植入監(jiān)視程序后再重新發(fā)往目的地的所作所為。

 

另一起攻擊事件中，某國一家條形碼掃描器供應(yīng)商在往至少8家公司發(fā)送的設(shè)備中植入了高級(jí)惡意軟件。據(jù)安全公司披露，這起攻擊事件很可能是該國政府支持的工業(yè)間諜行動(dòng)的一部分。

 

無論有意攻擊還是無意感染，這類事件都凸顯出供應(yīng)商和制造商都需要做出更多努力來保衛(wèi)他們的客戶免遭網(wǎng)絡(luò)攻擊。

 

但目前的事實(shí)表示，在保證產(chǎn)品安全上，制造商們做的遠(yuǎn)遠(yuǎn)不夠，攻擊者可以輕易染指這些設(shè)備。

 

 

公司企業(yè)要做的第一步，就是要求他們的供應(yīng)商遵從與他們一致的安全標(biāo)準(zhǔn)和策略。盡管這一努力可能需要花費(fèi)時(shí)間，培養(yǎng)供應(yīng)商達(dá)到他們客戶的產(chǎn)品安全期望是一個(gè)好的開始。只要明確告知，大多數(shù)生產(chǎn)商都會(huì)切實(shí)遵從客戶的要求。

 

而且，供應(yīng)商需要了解，安全是任何聯(lián)網(wǎng)產(chǎn)品都需要的特性之一。雖然將產(chǎn)品快速推向市場和讓產(chǎn)品具有恰當(dāng)?shù)奶匦院苊黠@是成功必需品，但保證產(chǎn)品和客戶數(shù)據(jù)的安全正逐漸成為任何開發(fā)工作的關(guān)鍵組成部分。

 

管控到位以保證即將推向市場的產(chǎn)品的安全，很明顯是制造商的責(zé)任。

 

 

達(dá)到適當(dāng)?shù)陌踩^非易事，但隨著今天人們對(duì)信息技術(shù)的巨大依賴，軟件和技術(shù)供應(yīng)商需要更多的努力以保護(hù)他們的設(shè)備。如，開發(fā)者應(yīng)該遵從安全的軟件開發(fā)過程。

 

類似于SafeCODE的軟件保障評(píng)估原則和其他諸如安全成熟度模型（BSIMM），都將對(duì)這一過程帶來極大的幫助。雖然對(duì)很多供應(yīng)商而言，這將是一個(gè)新的領(lǐng)域。畢竟對(duì)于整個(gè)產(chǎn)業(yè)來說，并沒有像蘋果和微軟那樣在過去20年里一直遭受惡意軟件困擾，也因此沒能學(xué)到這些教訓(xùn)。

 

一旦公司企業(yè)創(chuàng)立了改進(jìn)產(chǎn)品安全的過程，或者作為消費(fèi)者有了檢查供應(yīng)商產(chǎn)品安全的習(xí)慣，培訓(xùn)和再培訓(xùn)就能幫助將安全理念灌輸進(jìn)開發(fā)者的工作方式中。

 

當(dāng)然，即便做到每件事也不能保證絕對(duì)的網(wǎng)絡(luò)安全，不能保證攻擊者無法找到新的方法突破我們的系統(tǒng)。