跳至主要内容

物联网安全是否可能,真的吗? 是 - 你想要多少?

Anton Sabev - 首席系统安全架构师 - 内部ID |

我们生活在一个头条新闻的世界里并不是什么秘密。 所以当我遇到一篇标题为“物联网不安全”的文章时,“克服它!” 说研究人员,“该声明的争议引起了我的注意 - 所以我当然必须阅读 这件作品的其余部分 看看它是如何发挥出来的。

这种挑衅姿态来自Charlie Miller和Cruise Automation的安全架构师Chris Valasek,他们在最近的一次技术会议上发表了演讲。 自动驾驶汽车制造商Cruise被通用汽车公司和2016收购 在9月份宣布 它所谓的自动驾驶汽车的第一个生产设计可以大规模建造。

“我们编写代码,而且我们并不完美,”是第一枚手榴弹,由米勒抛出。 “问题在于,高安全性很昂贵。 你不能只是继续寻找漏洞。 您需要运送产品并接受无法解决安全问题的事实。“

那声明让我停下了。 我为一家帮助世界顶级电子公司提供数百万连接设备安全性的公司工作。 所以是的,我认为有可能“解决安全问题”。物联网安全可能吗? 是 - 你想要多少?

好奇心激荡,我继续阅读。 先进的几个断言,一些与增加安全性的成本有关,另一些与某些产品的消费者是否愿意承担增加安全性的成本有关。 这些都是合理的问题。 但其他的断言主要围绕绝对数据 - 你或者根本没有安全性,或者你认为片断称之为“极好的安全性”。它表明你应该辨别出哪些应用程序需要安全性,哪些应用程序需要安全性而哪些不需要安全性。

在这一点上,我们会不同意。 结论不应该放弃“伟大安全”无法证明的地方。 更好地确定如何为应用程序提供适当的安全性。

发言人清楚地宣传与健康和安全有关的安全。 我们显然没有争吵。 没有人希望他们的心脏起搏器或胰岛素泵被黑客入侵。

但是,安全的理由停止了吗? 没有。

防盗

Miller继续说道:“谈论黑客入侵物联网设备很有趣。 但是,不要让它分散注意力,防止企业受到黑客攻击。 专注于真正的攻击。 如果世界的物联网牙刷被黑客入侵,不要感到惊讶。 专注于重要的东西。“

有一个不安全的牙刷,烤面包机,冰箱,婴儿监视器等似乎并不麻烦。 毕竟,如果被攻破,黑客仍然需要通过网络上其他地方的安全措施,比如路由器。 但是,有些人认为路由器 - 被设计和表示为将家庭设备连接到互联网并提供保护的手段 - 被一些人认为是 为黑客创造一个吸引人的切入点.

所以再次告诉我,牙刷是多么不重要。

考虑锁门的简单情况。 一个传统的物理钥匙肯定会锁住它,但是为了方便起见,你可能想要使用电子锁,以避免盗窃或丢失物理钥匙的可能性,或者因为多人需要访问该门,并且产生不切实际的并管理许多密钥。

电子锁可能会打开漏洞 - 在线黑客攻击,旁道攻击等。那么,为了确保连接性,需要多少钱? 应该考虑的不仅是提供安全性的成本,还包括受保护的实际资产,并设计一个适当保护资产并使其窃取成本高于资产价值的解决方案。 这是合适的投资水平。

没有安全风险? 没有盗窃风险? 没问题? 没有。

如果我要说“恒温器”,大多数人会想起挂在客厅墙上的东西,控制房子里的温度。 如果我说“物联网连接的恒温器”,他们可能会考虑 来自Nest的产品。 现在,如果有人要入侵我家的物联网连接的恒温器,也许在夏天,他们可能会修改它,以免读数不准确,因此,我的房子空调比真正需要的还要多。 我们可以争辩说这个成本有多有意义,但这无疑是一种成本。

但让我们将同样的例子扩展到控制肉仓库或冷冻货物设施中的温度的恒温器,温度在维持产品可行性方面发挥作用的任何商业环境。 通过调整传感器数据可以降低这样的位置,从而使温度读数不准确。 而且我可以这样做,它会让我的竞争对手花更多的钱让他的产品保持在正确的温度。 或者我可以调整它,使其保持温度不足以保护他的产品,并且因此他具有更大的腐败。 这可能为我在市场上创造机会。

这是一个安全问题吗? 不,这是一个商业问题吗? 是。 安全起到了什么作用? 完全正确。

需要安全的产品的成功制造商会意识到,他们实际上需要适当的安全措施才能开展业务。 当一个产品满足某种功能或在一个人的生活中发挥关键作用时,就会打开非连接世界中不存在的不安全感的大门,这只会让这个产品在市场上存在所有。

最后,我们需要对黑白评估保持谨慎,我认为在安全方面尤其如此。 一个广阔的中间地带在极端的安全之间,一方面不提供任何安全。 可以根据成本和安全级别对安全性进行微调,以适应中间产品或针对不同应用的相同产品。 公司可以设计能够满足作为客户的公司或政府需求的安全解决方案。

Anton Sabev是Intrinsic ID的首席系统安全架构师,在密码学,计算机安全和嵌入式数字信号处理领域拥有丰富的经验。 此前的经验包括LSI Logic,ST Microelectronics和Intel的职位。 他也是一名持证飞行员,并进行飞行员培训。

有关支持物联网安全性的设备身份和身份验证技术的更多信息,请下载我们的白皮书 安全硅指纹.

发表评论

您的电子邮件地址将不会被发表。 必填字段标 *

回到顶部