受害者和安全專家眼中的物聯(lián)網(wǎng)安全

責(zé)任編輯:editor005

作者:Hugo Fiennes

2017-02-27 14:03:49

摘自:TechTarget中國(guó)

顯然,鑒于這是一個(gè)平臺(tái)供應(yīng)商的博客,我的結(jié)論——希望讀者理解為什么達(dá)成這一結(jié)論——這些問(wèn)題的解決方案是使用一個(gè)安全的平臺(tái)。這種技術(shù)投資的公共共享,也意味著沒(méi)有任何一個(gè)客戶,無(wú)論多小,會(huì)被排除在安全更新之外。

在《物聯(lián)網(wǎng)安全:誰(shuí)來(lái)為之負(fù)責(zé)?》中,作者從制造商、IP開發(fā)人員和客戶三方面詮釋了各自眼中的物聯(lián)網(wǎng)安全。那么,受攻擊的受害者以及安全專家又將作何解釋呢?最后,關(guān)于真正的物聯(lián)網(wǎng)安全,要如何實(shí)現(xiàn)這一切呢?

4. 攻擊的受害者

隨著物聯(lián)網(wǎng)攻擊變得更加普遍和更危險(xiǎn)——我認(rèn)為黑客目前還沒(méi)有將這些新工具用到極限,帶來(lái)最災(zāi)難性的影響——很明顯,每個(gè)人都是潛在的受害者。

世界已經(jīng)依賴一個(gè)正常運(yùn)作的互聯(lián)網(wǎng),而要維護(hù)它,需要網(wǎng)絡(luò)安全相關(guān)各方的參與。

5. 安全專家

總體而言,互聯(lián)網(wǎng)安全領(lǐng)域很龐大。對(duì)于安全有強(qiáng)大的需求,最近幾十年,特別是在電子商務(wù)領(lǐng)域,還不包括已經(jīng)需求量很大的殺毒軟件行業(yè)。

許多安全從業(yè)人員將物聯(lián)網(wǎng)視為現(xiàn)有專業(yè)領(lǐng)域的一個(gè)分支(例如,手機(jī)應(yīng)用安全),而且最近才了解嵌入式專業(yè)知識(shí),這意味著他們往往缺乏對(duì)于問(wèn)題的必要整體視圖,而是把它看作一系列離散的問(wèn)題。

因?yàn)榘踩珜<彝ǔJ窃诎l(fā)生安全問(wèn)題后才會(huì)參與,他們對(duì)于物聯(lián)網(wǎng)的安全并不樂(lè)觀。他們要么購(gòu)買有缺陷的產(chǎn)品,然后發(fā)現(xiàn)問(wèn)題,或者他們調(diào)查由物聯(lián)網(wǎng)設(shè)備引起的DDoS攻擊,或者是由缺錢或者缺時(shí)間的制造商,在發(fā)貨前,要求他們來(lái)測(cè)試一個(gè) “幾乎完成”的產(chǎn)品,卻發(fā)現(xiàn)它并不安全。

在任何情況下,他們都會(huì)傳遞壞消息。在設(shè)計(jì)早期,最好的情況下,很少會(huì)向他們進(jìn)行咨詢,或者在產(chǎn)品發(fā)貨前,也不會(huì)給予足夠的時(shí)間,解決問(wèn)題。

那么如何解決物聯(lián)網(wǎng)安全問(wèn)題呢?

最需要改變的是,客戶和制造商需要認(rèn)同安全和安全產(chǎn)品的價(jià)值。

當(dāng)客戶重視安全,他們會(huì)堅(jiān)持他們所購(gòu)買的產(chǎn)品是安全的。當(dāng)制造商重視安全,擔(dān)心安全漏洞會(huì)影響他們的品牌——他們就會(huì)接受要?jiǎng)?chuàng)造安全的產(chǎn)品,就會(huì)增加一些成本。

從本質(zhì)上講,一旦安全價(jià)值被認(rèn)同,就會(huì)創(chuàng)造出安全的產(chǎn)品。

但是,要如何實(shí)現(xiàn)這一切呢?

物聯(lián)網(wǎng)安全的一個(gè)關(guān)鍵區(qū)別,是不能只關(guān)注產(chǎn)品的一部分。安全必須構(gòu)建于整個(gè)產(chǎn)品和服務(wù)中。與傳統(tǒng)產(chǎn)品不同,這需要價(jià)值鏈的各方完成集成。這和傳統(tǒng)的供應(yīng)鏈完全不同,其中的每個(gè)供應(yīng)商只專注于優(yōu)化屬于他們的一部分。

客戶和制造商依然很難影響IP/芯片供應(yīng)商的軟件質(zhì)量——軟件作為市場(chǎng)的整個(gè)問(wèn)題,是軟件只需要比最接近的競(jìng)爭(zhēng)對(duì)手更好,就能影響購(gòu)買決策。

同時(shí),大多數(shù)芯片公司并不能夠?qū)⒔桓盾浖蜍浖S護(hù),作為其核心產(chǎn)品。軟件維護(hù)并沒(méi)有計(jì)入他們的成本中,而你并不希望維護(hù)成為事后想法。

顯然,鑒于這是一個(gè)平臺(tái)供應(yīng)商的博客,我的結(jié)論——希望讀者理解為什么達(dá)成這一結(jié)論——這些問(wèn)題的解決方案是使用一個(gè)安全的平臺(tái)。

平臺(tái)最主要的作用,是提供一個(gè)明確的定位。平臺(tái)供應(yīng)商,創(chuàng)建覆蓋設(shè)備整個(gè)生命周期的軟件和服務(wù)—通過(guò)收費(fèi),保證這些設(shè)備的在線安全—有一個(gè)明確的動(dòng)力,來(lái)提供持續(xù)的支持。

不收取大筆非重復(fù)性的開發(fā)工程費(fèi)用的平臺(tái)供應(yīng)商,期望盡快讓產(chǎn)品上市,否則他們無(wú)法獲得大筆收益。這就激勵(lì)一個(gè)安全的平臺(tái)架構(gòu)和支持結(jié)構(gòu),能夠保證快速上市,并容易實(shí)施。

因?yàn)檎嬲钠脚_(tái)(在不同的客戶和產(chǎn)品之間都是相同的)在客戶之間共享,因此工作量和開支都可以歸入設(shè)計(jì),制造和維護(hù)中,遠(yuǎn)高于大批量的產(chǎn)品。然而,單個(gè)客戶的成本則遠(yuǎn)低于任何內(nèi)部開發(fā),因?yàn)檫@個(gè)成本是被分?jǐn)偟摹?/p>

這種技術(shù)投資的公共共享,也意味著沒(méi)有任何一個(gè)客戶,無(wú)論多小,會(huì)被排除在安全更新之外。

當(dāng)平臺(tái)發(fā)現(xiàn)弱點(diǎn)時(shí),(實(shí)際上每個(gè)系統(tǒng)都有缺點(diǎn)),無(wú)論是否被利用,它都可以同步修復(fù)。這一點(diǎn)很重要,因?yàn)樗馕吨脚_(tái)供應(yīng)商的所有努力都是為了讓每一位客戶的產(chǎn)品更好。

結(jié)論:如果你在制造一個(gè)聯(lián)網(wǎng)產(chǎn)品,這是你的責(zé)任,無(wú)論是作為一個(gè)品牌,還是互聯(lián)網(wǎng)參與者,高度重視安全,創(chuàng)造安全的產(chǎn)品。這會(huì)需要你花費(fèi)很多錢和時(shí)間,來(lái)建立自己獨(dú)特的聯(lián)網(wǎng)基礎(chǔ)設(shè)施(安全設(shè)計(jì)和詳盡的測(cè)試實(shí)施并不便宜,持續(xù)的維護(hù)也是),或者建立一個(gè)專為物聯(lián)網(wǎng)構(gòu)建的安全平臺(tái)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)