在《物联网安全:谁来为之负责?》中,作者从制造商、IP开发人员和客户三方面诠释了各自眼中的物联网安全。那么,受攻击的受害者以及安全专家又将作何解释呢?最后,关于真正的物联网安全,要如何实现这一切呢?
攻击的受害者
随着物联网攻击变得更加普遍和更危险——我认为黑客目前还没有将这些新工具用到极限,带来最灾难性的影响——很明显,每个人都是潜在的受害者。 世界已经依赖一个正常运作的互联网,而要维护它,需要网络安全相关各方的参与。
安全专家
总体而言,互联网安全领域很庞大。对于安全有强大的需求,最近几十年,特别是在电子商务领域,还不包括已经需求量很大的杀毒软件行业。 许多安全从业人员将物联网视为现有专业领域的一个分支(例如,手机应用安全),而且最近才了解嵌入式专业知识,这意味着他们往往缺乏对于问题的必要整体视图,而是把它看作一系列离散的问题。
因为安全专家通常是在发生安全问题后才会参与,他们对于物联网的安全并不乐观。他们要么购买有缺陷的产品,然后发现问题,或者他们调查由物联网设备引起的DDoS攻击,或者是由缺钱或者缺时间的制造商,在发货前,要求他们来测试一个 “几乎完成”的产品,却发现它并不安全。
在任何情况下,他们都会传递坏消息。在设计早期,最好的情况下,很少会向他们进行咨询,或者在产品发货前,也不会给予足够的时间,解决问题。 那么如何解决物联网安全问题呢? 最需要改变的是,客户和制造商需要认同安全和安全产品的价值。 当客户重视安全,他们会坚持他们所购买的产品是安全的。
当制造商重视安全,担心安全漏洞会影响他们的品牌——他们就会接受要创造安全的产品,就会增加一些成本。 从本质上讲,一旦安全价值被认同,就会创造出安全的产品。 但是,要如何实现这一切呢?
物联网安全的一个关键区别,是不能只关注产品的一部分。安全必须构建于整个产品和服务中。与传统产品不同,这需要价值链的各方完成集成。这和传统的供应链完全不同,其中的每个供应商只专注于优化属于他们的一部分。
客户和制造商依然很难影响IP/芯片供应商的软件质量——软件作为市场的整个问题,是软件只需要比最接近的竞争对手更好,就能影响购买决策。
同时,大多数芯片公司并不能够将交付软件,或软件维护,作为其核心产品。软件维护并没有计入他们的成本中,而你并不希望维护成为事后想法。
显然,鉴于这是一个平台供应商的博客,我的结论——希望读者理解为什么达成这一结论——这些问题的解决方案是使用一个安全的平台。 平台最主要的作用,是提供一个明确的定位。
平台供应商,创建覆盖设备整个生命周期的软件和服务—通过收费,保证这些设备的在线安全—有一个明确的动力,来提供持续的支持。
不收取大笔非重复性的开发工程费用的平台供应商,期望尽快让产品上市,否则他们无法获得大笔收益。这就激励一个安全的平台架构和支持结构,能够保证快速上市,并容易实施。
因为真正的平台(在不同的客户和产品之间都是相同的)在客户之间共享,因此工作量和开支都可以归入设计,制造和维护中,远高于大批量的产品。然而,单个客户的成本则远低于任何内部开发,因为这个成本是被分摊的。
这种技术投资的公共共享,也意味着没有任何一个客户,无论多小,会被排除在安全更新之外。 当平台发现弱点时,(实际上每个系统都有缺点),无论是否被利用,它都可以同步修复。
这一点很重要,因为它意味着平台供应商的所有努力都是为了让每一位客户的产品更好。 结论:如果你在制造一个联网产品,这是你的责任,无论是作为一个品牌,还是互联网参与者,高度重视安全,创造安全的产品。
这会需要你花费很多钱和时间,来建立自己独特的联网基础设施(安全设计和详尽的测试实施并不便宜,持续的维护也是),或者建立一个专为物联网构建的安全平台。
原文发布时间为:2017年2月27日