CDIC 2023

IoT Security Foundation ออกแพลตฟอร์มเพื่อบริหารจัดการช่องโหว่ในอุตสาหกรรม IoT

IoT Security Foundation (IoTSF) ได้ออกแพลตฟอร์มสำหรับประสานงาน เชื่อมต่อ และให้ความรู้เกี่ยวกับผู้เกี่ยวของในอุตสาหกรรม IoT

Credit: ShutterStock.com

ปัญหาช่องโหว่ในอุปกรณ์ IoT ยังมีแนวโน้มเพิ่มขึ้นเรื่อยๆในอนาคต ซึ่งสาเหตุหนึ่งมาจากการที่ผู้ผลิตเองไม่รู้ว่าควรมีมาตรการอย่างไร ผู้ค้นพบช่องโหว่จะติดต่อผู้ผลิตได้อย่างไร ไปจนถึงผู้จัดจำหน่ายและผู้ใช้งานก็ได้รับผลกระทบจากการขาดมาตรการและขั้นตอนที่เป็นมาตรฐาน ด้วยเหตุนี้เองทาง IoTSF จึงสร้างแพลตฟอร์ที่เป็นตัวแทนในการบริหารจัดการช่องโหว่ได้อย่างครบวงจร ผ่านเว็บไซต์ที่ชื่อว่า VulnerableThings.com ซึ่งประโยชน์ของแพลตฟอร์มสรุปได้ดังนี้

  • ผลักดันให้ผู้ผลิต (Vendor) อุปกรณ์ IoT ผู้นำเข้า และผู้จัดจำหน่ายให้มีมาตรฐานด้านความมั่นคงปลอดภัยระดับสากลอย่าง ETSI EN 303645 และอื่นๆ
  • ทำเรื่องของการเปิดเผยช่องโหว่ให้มีความชัดเจนว่า เมื่อนักวิจัยด้านความมั่นคงปลอดภัยค้นพบช่องโหว่จะต้องติดต่อใคร รวมถึงสามารถติดตามสถานะของช่องโหว่ที่ตนรายงานได้
  • ทำการประสานงานเป็นคนกลางระหว่างผู้เกี่ยวข้องให้ได้คุยกัน
  • เป็นเครื่องมือใช้ในการบริหารจัดการช่องโหว่ที่เกิดขึ้นและใช้ได้ง่ายผ่าน GUI
  • แนะนำข้อปฏิบัติเบื้องต้นให้แก่ Vendor ให้เตรียมพร้อมกับกฏหมายและข้อบังคับต่างๆ
  • ผู้ผลิตที่ลงทะเบียนในแพลตฟอร์มนี้จะสามารถเข้าถึงข้อมูลการแก้ปัญหาช่องโหว่และช่องทางการสื่อสารกับผู้รายงานปัญหา แต่ถ้าไม่ได้ลงทะเบียนการแจ้งเตือนก็จะส่งมาทางอีเมลสาธารณะเท่านั้น

ปัจจุบันแพลตฟอร์มนี้เปิดให้ใช้ฟรีถึง 31 มกราคมปีหน้า

ที่มา : https://www.securitymagazine.com/articles/93766-iot-security-foundation-launches-vulnerability-disclosure-platform-for-iot-industry


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

WatchGuard AuthPoint MFA ระบบยืนยันตัวตน 2 ชั้น ป้องกันรหัสผ่านถูกแฮ็ก [Guest Post]

WatchGuard AuthPoint MFA ระบบยืนยันตัวตน 2 ชั้น ป้องกันรหัสผ่านถูกแฮ็ก รับมือการขโมยข้อมูลระดับสูง แฮ็กเกอร์มักใช้การโจมตีทางวิศวกรรมสังคมเพื่อเข้าถึงข้อมูลประจำตัวขององค์กรและเจาะระบบเครือข่ายขนาดใหญ่ เมื่อโจมตีเข้าสู่เครือข่ายองค์กร แฮ็กเกอร์มักจะใช้ข้อมูลประจำตัวการเข้าสู่ระบบของพนักงานที่ถูกขโมยเพื่อเข้าถึง VPN และระบบเครือข่าย

Whoscall เตือน!! ระวังมิจฉาชีพใช้ AI ปลอมเสียง หลอกลวงเหยื่อ [Guest Post]

Gogolook ผู้พัฒนาแอปพลิเคชัน Whoscall และผู้ให้บริการทางด้านเทคโนโลยี เพื่อความเชื่อมั่น (TrustTech) เตือนภัยมิจฉาชีพในประเทศไทยเริ่มใช้วิธีหลอกลวงใหม่ด้วยเทคโนโลยี AI ปลอมเสียง คำเตือนดังกล่าวเกิดขึ้นในขณะที่ Gogolook เข้าร่วมเป็นพันธมิตรองค์กรต่อต้านกลโกงระดับโลก GASA (The Global …