嵌入式设备比传统软件更危险 代价更大

2012-04-22 15:19:33来源: 网界网 关键字:传统  软件  危险  代价

  目前在安全方面最大挑战之一是:操作系统和应用程序为何有如此多的安全漏洞。虽然传统软件厂商在开发更有弹性的应用程序方面已经取得了进步,但是,专家称,嵌入式设备和系统(如植入式医疗设备和工业控制系统)厂商在安全系统设计和开发的成熟度方面落后了好几代。

   安全服务提供商PerimeterE-Security的安全软件专家和执行副总裁约翰·别加(JohnViega)称,在嵌入式和工业系统安全方面,未来可能有两个结果。

   别加称,攻击者开始利用SCADA(监视控制和数据采集)系统披露的安全漏洞做一些可怕的事情。这将把注意力、规则和投资吸引到这个问题上来。

  这是一个结果。另一个问题是这个挑战长时间地悄悄恶化,i没有发生实质问题。如果不发生这种类型的事件,这个问题本身不会迅速改正。在真正发生糟糕的事情之前,人们将变得麻木不仁。他们把这种威胁称作是理论性的。然而,我们知道缓存溢出安全漏洞已经有很长时间之后人们才意识到这个风险是多么糟糕。

   重要基础设施安全软件和服务提供商Wurldtech安全技术公司的首席技术官和创始人内特·库贝(NateKube)还认为,人们对于目前的重要基础设施的态度与人们在90年代末看待软件安全的方式有相似之处。这些厂商直到最近才开始进行负面测试。这些厂商会做协议及其实施的一致性测试,但是,他们不会在测试中放入恶意通讯以查看这个系统如何回应。

  据库贝称,嵌入式和重要基础设施市场中的更多的厂商正在开始做经典威胁建模和对自己的设备进行风险分析等事情。但是,他们还不成熟,没有达到开发正式的安全开发标准的程度。传统软件开发和嵌入式设备安全之间的问题是类似的。这就是工程团队从来没有真正考虑这些问题。他们通常以为这些事情不是联网,或者网络将是专用的。因此,他们不做这个事情。

  在涉及到嵌入式和工业控制系统安全的时候,有许多事情是不同的。糟糕的系统设计的第一个后果是产生的社会风险要比传统的软件应用程序产生的社会风险大得多。第二,如果有可能这样做的话,事后更新这些系统将付出更多的代价

   库贝称,最终用户不能修复嵌入式系统的漏洞。他们不仅不能在技术上修复漏洞,而且代价也非常高,使他们不能做这个事情。他们必须打电话让他们的系统提供商或者集成商过来对嵌入式设备进行固件升级。这些嵌入式系统正在控制一个庞大的复杂的流程,让这些设备离线不是一件小事。

   别加同意这个观点。他说,嵌入式设备一旦部署到现场,修复嵌入式设备的故障是非常昂贵的。与软件系统相比,这个成本和困难都非常大。如果一家厂商发布一个补丁和宣布在他们的嵌入式设备中有一个安全漏洞,会发生什么事情呢?补丁不会广泛地使用,因此,他们做的事情就是让他们的用户群面临风险。

关键字:传统  软件  危险  代价

编辑:eeleader 引用地址:http://www.eeworld.com.cn/gykz/2012/0422/article_9410.html
本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有,本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如果本网所选内容的文章作者及编辑认为其作品不宜公开自由传播,或不应无偿使用,请及时通过电子邮件或电话通知我们,以迅速采取适当措施,避免给双方造成不必要的经济损失。

上一篇:高通:S4供不应求28nm供给年底有解
下一篇:MIT:“网状网络”架构将成未来多核芯片主流

关注eeworld公众号 快捷获取更多信息
关注eeworld公众号
快捷获取更多信息
关注eeworld服务号 享受更多官方福利
关注eeworld服务号
享受更多官方福利
推荐阅读
全部
传统
软件
危险
代价

小广播

独家专题更多

东芝在线展会——芯科技智社会创未来
东芝在线展会——芯科技智社会创未来
2017东芝PCIM在线展会
2017东芝PCIM在线展会
TI车载信息娱乐系统的音视频解决方案
TI车载信息娱乐系统的音视频解决方案
汇总了TI汽车信息娱乐系统方案、优质音频解决方案、汽车娱乐系统和仪表盘参考设计相关的文档、视频等资源
电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2017 EEWORLD.com.cn, Inc. All rights reserved