IoT Security Foundation ออกแพลตฟอร์มเพื่อบริหารจัดการช่องโหว่ในอุตสาหกรรม IoT

IoT Security Foundation (IoTSF) ได้ออกแพลตฟอร์มสำหรับประสานงาน เชื่อมต่อ และให้ความรู้เกี่ยวกับผู้เกี่ยวของในอุตสาหกรรม IoT

Credit: ShutterStock.com

ปัญหาช่องโหว่ในอุปกรณ์ IoT ยังมีแนวโน้มเพิ่มขึ้นเรื่อยๆในอนาคต ซึ่งสาเหตุหนึ่งมาจากการที่ผู้ผลิตเองไม่รู้ว่าควรมีมาตรการอย่างไร ผู้ค้นพบช่องโหว่จะติดต่อผู้ผลิตได้อย่างไร ไปจนถึงผู้จัดจำหน่ายและผู้ใช้งานก็ได้รับผลกระทบจากการขาดมาตรการและขั้นตอนที่เป็นมาตรฐาน ด้วยเหตุนี้เองทาง IoTSF จึงสร้างแพลตฟอร์ที่เป็นตัวแทนในการบริหารจัดการช่องโหว่ได้อย่างครบวงจร ผ่านเว็บไซต์ที่ชื่อว่า VulnerableThings.com ซึ่งประโยชน์ของแพลตฟอร์มสรุปได้ดังนี้

  • ผลักดันให้ผู้ผลิต (Vendor) อุปกรณ์ IoT ผู้นำเข้า และผู้จัดจำหน่ายให้มีมาตรฐานด้านความมั่นคงปลอดภัยระดับสากลอย่าง ETSI EN 303645 และอื่นๆ
  • ทำเรื่องของการเปิดเผยช่องโหว่ให้มีความชัดเจนว่า เมื่อนักวิจัยด้านความมั่นคงปลอดภัยค้นพบช่องโหว่จะต้องติดต่อใคร รวมถึงสามารถติดตามสถานะของช่องโหว่ที่ตนรายงานได้
  • ทำการประสานงานเป็นคนกลางระหว่างผู้เกี่ยวข้องให้ได้คุยกัน
  • เป็นเครื่องมือใช้ในการบริหารจัดการช่องโหว่ที่เกิดขึ้นและใช้ได้ง่ายผ่าน GUI
  • แนะนำข้อปฏิบัติเบื้องต้นให้แก่ Vendor ให้เตรียมพร้อมกับกฏหมายและข้อบังคับต่างๆ
  • ผู้ผลิตที่ลงทะเบียนในแพลตฟอร์มนี้จะสามารถเข้าถึงข้อมูลการแก้ปัญหาช่องโหว่และช่องทางการสื่อสารกับผู้รายงานปัญหา แต่ถ้าไม่ได้ลงทะเบียนการแจ้งเตือนก็จะส่งมาทางอีเมลสาธารณะเท่านั้น

ปัจจุบันแพลตฟอร์มนี้เปิดให้ใช้ฟรีถึง 31 มกราคมปีหน้า

ที่มา : https://www.securitymagazine.com/articles/93766-iot-security-foundation-launches-vulnerability-disclosure-platform-for-iot-industry


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

TechTalk Webinar : Defense in Depth – Ransomware Ready with Commvault

VSTECS ร่วมกับ Computer Union และ Commvault ขอเชิญผู้สนใจในสายงาน IT ทุกท่านเข้าร่วมงานสัมมนาออนไลน์ในหัวข้อ "Defense in Depth - Ransomware Ready with Commvault" โดยท่านจะได้เรียนรู้เกี่ยวกับโซลูชันการป้องกันข้อมูลจากแรนซัมแวร์เพื่อทำให้ระบบขององค์กรเป็นไปตามแนวทาง Defense in Depth งานจะจัดขึ้นในวันจันทร์ที่ 6 มิถุนายน 2565 เวลา 14.00 - 15.30 น. มีกำหนดการลงทะเบียนดังนี้

พบช่องโหว่ร้ายแรงกระทบ vRealize, VCF, WorkspaceONE ทีมงาน CISA ประกาศหน่วยงานภายใต้การดูแลให้แพตช์ใน 5 วัน

VMware ได้มีการออกแพตช์ช่องโหว่ร้ายแรงใหม่ 2 รายการซึ่งทำให้คนร้ายสามารถ Bypass การพิสูจน์ตัวตนและยกระดับสิทธิ์ โดยส่งผลกระทบในหลายผลิตภัณฑ์ ไม่นานนัก CISA ได้ประกาศให้หน่วยงานภายใต้กำกับดูแลของตนให้เร่งแพตช์ช่องโหว่ใน 5 วัน หากทำไม่ได้ให้ตัดระบบเหล่านั้นออกจากเครือข่ายจนกว่าจะแล้วเสร็จ