呼吁采取行动避免IoT安全熔点
网络安全作者和战略家布鲁斯·施尼尔
摄影:埃里克·尼尔森
鸣叫
分享LinkedIn.
分享兴
分享

呼吁采取行动避免IoT安全熔点

Rae Ritchie——2020年1月

忘记传统的互联网安全;我们正在进入“一切安全”的时代,著名安全策略师、作家布鲁斯·施奈尔(Bruce Schneier)说。这就要求采取一些大胆的、立即的行动,以防止潜在的灾难性后果。

“你的冰箱是一台让事情保持凉爽的电脑。您的微波是一台加热件事的电脑。我们正在创造一个一切都是电脑的世界。“

这是密码学家、安全专家布鲁斯•施奈尔最近在伦敦大学学院(UCL)发表的题为《保护物理能力计算机的世界》(Securing a World of natural Capable Computers)的演讲中所说的。

“互联网安全将成为”一切安全性“,”他争辩道。“这意味着计算机安全的教训将与一切相关。”

施奈尔肯定有资格分享这些课程。他是畅销书的作者秘密与谎言:网络世界中的数字安全骗子和异常值:使社会需要茁壮成长的信任Data and Goliath: The Hidden Battles to Collect Your Data并控制你的世界。他的最新著作是点击此处杀死每个人:超接通世界中的安全性和生存。他在哈佛法学院的伯克曼互联网和社会和新美国基金会开放技术研究所举行奖学金。他的需求很大,作为全球各国政府和主要公司的主题演讲者和顾问。
互联世界固有的脆弱性

Schneier强调了信息安全对社会的影响,他坚信,随着越来越多的设备能够上网,当前的风险将变得越来越成问题。

大多数软件都写得很差而且不安全

“有着显着的例外,如空间班车,我们不想支付优质的软件,”施奈尔观察。相反,组织总是选择便宜,方便而不是昂贵和安全,导致软件与漏洞和虫子一起受到争夺。

Schneier争辩,这种重点仅在安全性上持续开展开车,以创造经济实惠的(和竞争力)的IOT设备。它将不再是可行的 - 甚至可能 - 要找到并解决每个问题,这意味着从汽车到医疗设备的所有东西都将保持脆弱,因此暴露于攻击。

互联网从来没有考虑过安全

“现在说它似乎很疯狂,但互联网永远不会用于70年代的任何重要信息,”他告诉UCL观众。

在网上的先驱日,用户必须属于认可的机构,这意味着访问受到信任个人的收入。没有感知需要保护或预防措施。时代可能发生了极大的变化,而是因为施奈尼尔指出:“我们仍然与他们的选择仍然没有嵌入安全性。”

计算机的可扩展性

施奈尔说:“智能手机可以做设计者从未想过的事情。”“我们不能限制它们的可用性,它们的功能也没有限制。”

这同样适用于其他物联网设备,其中下载可以引入新功能 - 可取的或不可取。正如施奈尼尔指出的那样:“恶意软件是一个功能升级。不是你想要的,但仍然是升级。“

这在安全方面有重大影响,他继续说:“你的冰箱现在可以发送垃圾邮件了。”

捍卫比攻击更难

Schneier指出,在网络安全方面,攻击比防御容易得多。

此外,数字设备和传感器的复杂性增加,使保护工作变得更加困难,因为需要保护的功能更多。“互联网是迄今为止人类创造的最复杂的机器,”他说,“因此很难捍卫它。”

更多的连接:更多的漏洞

就在几年前,通过互联网连接的鱼缸窃取数据的黑客的想法会听起来像科幻小说。然而,正如施尼尔突出的那样,这就是2017年发生的事情,当犯罪分子通过其水族箱的智能监测系统访问北美未命名的赌场网络。

他说,随着更多设备加入网络,这种情景将变得更加频繁。

“我们越多的网络内容,一个系统中的漏洞就越多,将影响他人。”

Schneier说,不仅更多的连接意味着更多的漏洞,而且还会产生级联效应。系统可以以不可预测的、有时是有害的方式影响其他系统:“我们把东西联网得越多,一个系统中的漏洞对其他系统的影响就越大。”

攻击总是变得更好,更容易和更快

施奈尔解释说:“10年前使用的密码在今天可能就不适用了。”“攻击总是会变得更好、更容易、更快,因为我们要对付的是一个聪明、高效、适应性强的对手。”

这是其他安全领域的不同模型。施奈尔与天气跟踪进行了比较:“飓风从未变得更聪明;在计算机安全性中,计算机确实如此。这是一个动态的过程。例如,使用垃圾邮件与垃圾邮件探测器,前者获得了一种新技术,后者铭记如何停止它。“
行动的时候

他认为,随着物联网变得无处不在,规范和行为需要改变。“长期存在的安全假设正在失效,”Schneier说,这对技术行业的运作有着巨大的影响。

“软件很糟糕,所以我们补丁。但是为低成本落后的路由器等产品不一无而不上有一个安全系统 - 因此没有选择修补,“他说。

“扔掉并购买一个新的是一个良好的安全策略,但它不适用于嵌入式系统。

当没有内置安全性的系统添加到具有更长的寿命的项目时出现问题。“这对低成本嵌入式系统不起作用,”施奈尔说。“扔掉并购买一个新的是一个良好的安全策略,但它不适用于嵌入式系统。您多久更换一次冰箱?它与手机不同。你的车怎么样?“

与此同时,身份认证也在失败,他辩称:“身份认证只是起作用了——然后就不是很好了。”现在,随着物对物认证的兴起,这种情况即将改变。

“使用5G并不是为了更快地看Netflix,而是为了让设备可以在不打扰你的情况下与其他设备对话——无需人工干预。”自动驾驶汽车将对其他数千辆汽车进行实时临时认证。但我们不能将所有设备配对,我们的手机也不能成为数千种产品的控制中心。这是一种不同的认证;我们不知道如何在规模上做到这一点。”
政策制定者的责任

Schneier认为,应对这些挑战的方法是将韧性纳入其中。“我们需要建造更多这样的建筑,”他说。“建立一个即使脆弱也能正常工作的系统。这是关于安全失败,安全失败。

您能否在不安全的零件中建立一个安全的网络?显而易见的答案[今天]是“否”,但是需要真正的研究,进入如何使答案“是”。

“我们需要更多地思考恢复力,但这是一个与互联网本身一样大的问题。您能否在不安全的零件中建立一个安全的网络?显而易见的答案[今天]是“否”,但是需要真正的研究,进入如何使答案“是”。

施奈尔清楚地致力于责任,而不是谎言。“单独的市场不会解决这个问题。市场是短期,利润的盈利,受个人的驱动,而不是社会良好。失踪的实体是政府。“

他进一步阐述了这一点:“政府是我们解决这个问题的途径。许多问题的根源就在于政府的缺失。在过去的150年里,我找不到在没有政府干预的情况下改善安全和保障的例子。”

政府已经参与受IoT技术影响的地区,如汽车。他相信:“做得正确,政府[可以]激励行业,因为它已经采用了汽车安全标准。”

但是,他很快就会为政府提出这项呼吁增加一个重要的警告:技术人员也需要帮助塑造政策。“所有安全政策问题都涉及技术:无人驾驶汽车,选举投票机,机器学习技术。立法者不[总是]理解这一点。

“我们需要解决这个问题,这是技术人员参与政策的工作 - 否则会发生不良政策,”他警告说。

•布鲁斯·施奈尔(Bruce Schneier)在纽约网络安全博士培训中心伦敦大学学院

阅读富士通白皮书:建立客户第一安全战雷竞技s8竞猜安全不略的最佳实践要了解有关如何改变安全性的更多信息,请更加注重客户和业务需求,风险管理的重要性以及对简化安全性的需求。雷竞技投注

2012年1月首次出版
鸣叫
分享LinkedIn.
分享兴
分享

    您对这个网站上的cookies的选择

    我们的网站使用Cookie进行分析目的,并为您提供最佳体验。

    单击“接受”以同意或首选项查看并选择Cookie设置。

    该网站使用cookie在您的计算机上存储信息。

    有些cookie是必要的,以便提供最佳的用户体验,而其他饼干提供分析或允许重新定位以显示与您相关的广告。

    要了解我们的饼干的完整列表以及我们如何使用它们,请访问我们的Cookie政策


    必要的饼干

    这些cookie使网站能够尽最大努力,为您提供最佳用户体验。它们仍然可以通过您的浏览器设置禁用。


    分析饼干

    我们使用谷歌分析器使用的分析cookie,以向我们提供有关用户与I-cio.com互动方式的信息 - 这有助于我们改进该网站以增强您的经验。

    有关分析cookie的完整列表以及我们如何使用它们,请访问我们的Cookie政策


    社交媒体饼干

    我们使用cookies追踪来自Facebook和LinkedIn等社交媒体平台的访问,这些cookies允许我们用www.kinoata.com的相关广告重新定位用户。

    有关社交媒体cookie的完整列表以及我们如何使用它们,请访问我们的Cookie政策