跳至主要内容

当客户告诉您他们需要安全保护时,为时已晚

Pim Tuyls,创始人兼首席执行官|

在与一位Intrinsic ID的客户进行对话时,我花了几分钟时间讨论安全性-黑客的风险,漏洞造成的后果等。过了一会儿,他拦住我说:“ Pim,我的客户中只有15%要求安全。 这并不能证明付出如此大的努力。”

我看着他,问了一个问题:“两年后,当您的客户意识到自己面临的风险并要求您这样做时,您会怎么说?”

他一直没有把握要点和机会,但我理解原因。 大多数人都善于解决我们面临的问题,并且这种情况在企业中也会发生。

我一直在考虑下周即将举行的安全峰会,这使我想到了这个故事。 我发现重要的是,不仅要从技术角度来考虑安全性,而且要从违反对业务造成的后果方面来考虑安全性。

物联网正在增长–风险也在增长

违反风险在物联网中成倍增加。 什么是物联网? 物联网的核心是简单的设备网络,这些设备相互连接并自主做出决策-即无需人工干预。 交通灯会更改颜色,而不会告诉您何时或显示哪种颜色。 网关,安全摄像机,无人机–都已连接,并且连接意味着它们都面临被黑客攻击的风险。

我们都知道物联网的增长速度。 实际上,这种增长是指数级的。 但这也意味着我们面临着甚至更快的指数攻击面。 让我们看一些数字。

有时在演讲时,我问观众中有多少人拥有超过五个连接的设备。 然后十点。 通常,到我到达60时,仍然有很多人在举手,而我曾经和一个声称拥有多个85连接设备的人开会。 还记得我所说的指数增长吗?

全球大约有20亿台PC。 大约30亿部智能手机。 已有80亿个已连接的IoT设备。 预测是什么? 软银表示,1可以连接2035万亿个连接的设备。

IoT设备攻击的数量如何? 我们正在看到更多。 稍后再详细介绍。

攻击者的工具:欺骗

那么,攻击者的工具箱中有什么? 欺骗 这在几千年前就已广为人知,在《孙子兵法》(Sun-Tzu)的时代,它声称欺骗是攻击者最强大的工具。 如今,一切都没有改变,仍然是关于欺骗的。 这样,所有重大战役都赢得了胜利-在法国海滩上度过了一日大战,扭转了第二次世界大战的潮流,罗马人参加了卡奈河战役。 历史上发生了改变世界的战斗,所有的战斗都是通过欺骗赢得的。

物联网没有什么不同。 您如何通过欺骗获胜? 与假冒有很大关系。 这可以在设备级别应用–通过断言设备具有另一台设备的凭据,该设备声称自己不是该设备。

罗伯特·乔伊斯(Robert Joyce)的名字是我不时提起的,尽管不是每个人都知道他是谁。 他曾是量身定制的访问运营小组的负责人,并轻描淡写了零日漏洞,因为该漏洞被高估了,他声称“凭据窃取是如何进入网络的”。

几乎所有安全问题都是身份验证问题。 如果您可以验证对方的身份,则可以知道谁是合法的,谁不是。

让我们看看这对物联网意味着什么。 想想一辆车。 黑客现在可以攻击汽车,并且不需要物联网,而只需在停车场即可。 但是,有了物联网,这个家伙就可以同时入侵1,10或1,000汽车,可能在世界各地的城市。 更大的问题是,借助物联网,黑客可以在任何地方进行攻击。 他不必在被入侵的设备附近。

现在考虑一下您每天开车行驶的高速公路。 以及与您共享高速公路的汽车数量。 担心了吗?

回到一些数字,这次是关于企业面临的违规行为。 Altman Vilandrie&Company进行的一项调查结果表明,年收入低于5百万美元的小公司的平均年违约成本相当于总收入的13.4%。 对于年收入超过5亿美元的公司,每年的违约成本也超过20百万美元。 在发生此类事件之后,执行团队有时会被解雇,因此这不是小事。

这些事情为什么会发生? 如您在附表中所见,事实是攻击者拥有大多数优势。 攻击者没有时间限制,因此他可以耐心等待直到漏洞出现为止。 攻击者可以灵活选择任何目标。 他不受地理约束。 攻击者通常不受预算限制

攻击者优势

攻击者拥有大多数优势

目标的方式。 与目标相比,攻击者可以利用无限的功率,因为​​黑客可以根据需要访问任意数量的功率,而目标物联网设备的资源有限,有时仅依靠电池供电。 攻击者可以灵活地利用温度范围来发挥自己的优势,如果能够获得帮助,则调用极冷或极热。

因此,开始考虑解决方案时,请考虑语音辅助设备,这些设备将微处理器,麦克风,内存,连接芯片等组件组合在一起。 物联网安全始于半导体。 要验证此设备,需要具有不可克隆的身份。 它从哪里来? 那么,有什么比设备固有的更好? 我们确定设备的物理性质,并以此来建立身份。 任何已连接的设备(语音辅助设备,已连接的汽车,无人机,手表,恒温器,灯泡)都有自己的标识。 这样,我们就可以对设备进行身份验证,保护数据的完整性并确保数据的机密性。 当我谈论不可克隆的身份时,有时会与人类身份进行类比。

人与设备身份比较

人与设备身份比较

想一想:

  • 人有指纹,并且(一定是SRAM PUF的)人也有指纹
  • 人类拥有政府机构颁发的出生证明,设备拥有证书颁发机构颁发的设备证书
  • 人们拥有护照或签证,并且设备已向云注册

我的意思是出生证明,设备证明,护照,签证,云注册–其中任何一项都可以克隆。 但是,与我们使用物联网设备时一样,结合不可克隆的身份,很难绕过身份验证保护措施。

最重要的是,如果我们想使物联网成功,我们需要可以依靠的授权。 而且,这需要基于不可克隆身份的安全性-即使您今天不需要它。

因为回到我开始撰写此博客的问题的要点,您的客户有一天会意识到他们需要安全性。 那你会怎么做?

Pim Tuyls | CEO,内部IDPim TuylsIntrinsic ID的首席执行官,是飞利浦研究公司(Philips Research)的衍生产品,在2008中创建了公司。 他是在飞利浦(Philips)担任首席科学家并管理密码学集群的,他发起了有关物理不可克隆功能(PUFs)的原始工作,这些功能构成了固有ID核心技术的基础。 Pim拥有超过20年的半导体和安全性经验,以其在SRAM PUF和嵌入式应用程序安全性领域的工作而广受认可。 他定期在技术会议上发表演讲,并在安全领域写过很多篇文章。 他写这本书 噪声数据的安全性, 它基于噪声数据检查安全领域的新技术,并描述了生物识别,安全密钥存储和防伪领域的应用。 Pim拥有博士学位。 来自鲁汶大学的数学物理专业,拥有超过50的专利。

发表评论

您的电子邮件地址将不会被发表。 必填字段标 *

回到顶部