呼吁采取行动避免物联网安全崩溃
网络安全作者兼策略师Bruce Schneier
摄影:埃里克·尼尔森
推特
分享在LinkedIn
在兴
分享

呼吁采取行动避免物联网安全崩溃

Rae Ritchie——2020年1月

忘记传统的互联网安全;我们正在进入“一切安全”的时代,著名安全策略师、作家布鲁斯·施奈尔(Bruce Schneier)说。这就要求采取一些大胆的、立即的行动,以防止潜在的灾难性后果。

“你的冰箱是一种能让东西保持凉爽的电脑。你的微波炉是一台加热东西的电脑。我们正在创造一个一切都是计算机的世界。”

这是密码学家、安全专家布鲁斯•施奈尔最近在伦敦大学学院(UCL)发表的题为《保护物理能力计算机的世界》(Securing a World of natural Capable Computers)的演讲中所说的。

“互联网安全将成为‘一切安全’,”他说。“这意味着从计算机安全中吸取的教训将与一切有关。”

Schneier当然有资格分享这些经验教训。他是有先见之明的畅销书的作者秘密与谎言:网络世界中的数字安全,骗子和局外人:让社会繁荣所需的信任成为可能Data and Goliath: The Hidden Battles to Collect Your Data控制你的世界。他的最新著作是点击这里杀死所有人:超级连接世界中的安全和生存。他是哈佛法学院伯克曼互联网与社会中心和新美国基金会开放技术研究所的研究员。他是世界各国政府和大公司的主要发言人和顾问,非常受欢迎。
互联世界固有的脆弱性

Schneier强调了信息安全对社会的影响,他坚信,随着越来越多的设备能够上网,当前的风险将变得越来越成问题。

大多数软件都写得很差而且不安全

“除了航天飞机等明显的例外,我们不想为高质量的软件付费,”Schneier说。相反,组织总是选择便宜和方便,而不是昂贵和安全,导致软件被漏洞和错误撕裂,他说。

Schneier认为,这种对成本高于安全的强调只会继续推动创造负担得起(且具有竞争力)的物联网设备。发现并解决每个问题将不再可行,甚至是不可能的,这意味着从汽车到医疗设备,运行所有东西的软件将仍然脆弱,因此容易受到攻击。

互联网在设计时从未考虑过安全问题

他对伦敦大学学院的观众们说:“现在这么说似乎有点疯狂,但在70年代,互联网从未被用于任何重要的事情。”

在互联网的早期,用户必须属于一个经过认证的机构,这意味着访问被严格限制在可信任的个人。认为没有必要采取保护或预防措施。时代可能发生了巨大的变化,但正如Schneier指出的那样:“我们仍然与他们不嵌入安全的选择生活在一起。”

计算机的可扩展性

施奈尔说:“智能手机可以做设计者从未想过的事情。”“我们不能限制它们的可用性,它们的功能也没有限制。”

这同样适用于其他物联网设备,在这些设备中,下载可以引入新的功能——不管需要与否。正如Schneier指出的:“恶意软件是一种功能升级。虽然不是你想要的,但仍然是一种升级。”

这在安全方面有重大影响,他继续说:“你的冰箱现在可以发送垃圾邮件了。”

防守比进攻难

Schneier指出,在网络安全方面,攻击比防御容易得多。

此外,数字设备和传感器的复杂性增加,使保护工作变得更加困难,因为需要保护的功能更多。“互联网是迄今为止人类创造的最复杂的机器,”他说,“因此很难捍卫它。”

更多的连接:更多的漏洞

就在几年前,黑客通过联网的鱼缸窃取数据的想法听起来像是科幻小说。然而,正如施奈尔强调的那样,这是2017年发生的事情,当时犯罪分子设法通过北美一家未具名赌场水族馆的智能监控系统进入了该赌场的网络。

他说,随着越来越多的设备加入网络,这种情况只会变得越来越频繁。

“我们把事物网络化得越多,一个系统中的漏洞就会对其他系统造成更多影响。”

Schneier说,不仅更多的连接意味着更多的漏洞,而且还会产生级联效应。系统可以以不可预测的、有时是有害的方式影响其他系统:“我们把东西联网得越多,一个系统中的漏洞对其他系统的影响就越大。”

攻击总是变得更好,更容易和更快

施奈尔解释说:“10年前使用的密码在今天可能就不适用了。”“攻击总是会变得更好、更容易、更快,因为我们要对付的是一个聪明、高效、适应性强的对手。”

这是一种不同于其他安全领域的模式。Schneier用天气追踪做了一个比较:“飓风永远不会变得更聪明;在计算机安全方面,计算机负责。这是一个动态的过程。例如,通过spam- against -spam检测器,前者获得了一种新技术,后者则找出了如何阻止它。”
行动的时候

他认为,随着物联网变得无处不在,规范和行为需要改变。“长期存在的安全假设正在失效,”Schneier说,这对技术行业的运作有着巨大的影响。

“软件很糟糕,所以我们打补丁。但是像路由器这样的低成本产品在海外生产,并没有安装安全系统,所以没有打补丁的选择。”

他说:“扔掉手机,买个新的是个不错的安全策略,但对嵌入式系统不起作用。

当没有内置安全性的系统被添加到寿命较长的物品上时,问题就出现了。“这不适用于低成本的嵌入式系统,”Schneier说。他说:“扔掉手机,买个新的是个不错的安全策略,但对嵌入式系统不起作用。你多久更换一次冰箱?这和手机不一样。你的车呢?”

与此同时,身份认证也在失败,他辩称:“身份认证只是起作用了——然后就不是很好了。”现在,随着物对物认证的兴起,这种情况即将改变。

“使用5G并不是为了更快地看Netflix,而是为了让设备可以在不打扰你的情况下与其他设备对话——无需人工干预。”自动驾驶汽车将对其他数千辆汽车进行实时临时认证。但我们不能将所有设备配对,我们的手机也不能成为数千种产品的控制中心。这是一种不同的认证;我们不知道如何在规模上做到这一点。”
政策制定者的责任

Schneier认为,应对这些挑战的方法是将韧性纳入其中。“我们需要建造更多这样的建筑,”他说。“建立一个即使脆弱也能正常工作的系统。这是关于安全失败,安全失败。

你能用不安全的部分构建一个安全的网络吗?今天的答案显然是否定的,但需要进行真正的研究,才能得出肯定的答案。”

“我们需要更多地考虑韧性,但这是一个与互联网本身一样大的问题。你能用不安全的部分构建一个安全的网络吗?今天的答案显然是否定的,但需要进行真正的研究,才能得出肯定的答案。”

施奈尔很清楚责任在哪里,不应该在哪里。“单靠市场无法解决这个问题。市场是短期的、以利润为动机的、由个人利益而非社会利益驱动的。失踪的实体是政府。”

他进一步阐述了这一点:“政府是我们解决这个问题的途径。许多问题的根源就在于政府的缺失。在过去的150年里,我找不到在没有政府干预的情况下改善安全和保障的例子。”

政府已经介入了受物联网技术影响的领域,比如汽车。他相信:“如果做得对,政府(可以)激励行业,就像它在汽车安全标准方面所做的那样。”

然而,他很快就给政府的这一呼吁添加了一个重要的警告:技术专家也需要帮助制定政策。“所有安全政策问题都涉及技术:无人驾驶汽车、选举投票机、机器学习技术。立法者(总是)不明白这一点。

他警告说:“我们需要解决这个问题,而参与政策制定是技术专家的工作——否则糟糕的政策将发生在我们身上。”

•布鲁斯·施奈尔(Bruce Schneier)在纽约网络安全博士培训中心,伦敦大学学院

读富士通的白皮书:建立客户至上的安全雷竞技s8竞猜安全不策略的最佳实践了解更多关于如何将安全性转换为更关注客户和业务需求、风险管理的重要性以及对简化安全性的需求的信息。雷竞技投注

2020年1月首次发布
推特
分享在LinkedIn
在兴
分享

    您对这个网站上的cookies的选择

    我们的网站使用cookies用于分析目的,并为您提供最好的体验。

    点击Accept同意或Preferences查看并选择您的cookie设置。

    该网站使用cookie在您的计算机上存储信息。

    为了提供最好的用户体验,一些cookie是必要的,而另一些则提供分析或重新定位,以便显示与你相关的广告。

    要了解我们的饼干的完整列表以及我们如何使用它们,请访问我们的饼干的政策


    必要的饼干

    这些cookies使网站能够发挥最大的功能,并为您提供最佳的用户体验。它们仍然可以通过浏览器设置被禁用。


    分析饼干

    我们使用谷歌Analytics所使用的分析cookie,为我们提供用户与www.kinoata.com互动方式的信息——这有助于我们对网站进行改进,以提高您的体验。

    要查看完整的分析cookie列表以及我们如何使用它们,请访问我们的饼干的政策


    社交媒体的饼干

    我们使用cookies追踪来自Facebook和LinkedIn等社交媒体平台的访问,这些cookies允许我们用www.kinoata.com的相关广告重新定位用户。

    想了解社交媒体cookies的完整列表以及我们如何使用它们,请访问我们的饼干的政策