在很大程度上,2016年CES展在很大程度上是一场哈欠式的成熟,而不是创新。是的,在IT设备之外有很多有趣的东西——IT设备可能像运行hadoop的200节点树莓派集群或极快的IEEE 802.11ac无线集线器一样有趣,这些集线器可以进行无休止的安全技巧。
这次事件造成的破坏、诅咒和粗暴无礼是:所有新的物联网/物联网/KewlGear都没有统一的安全策略。这是一个证书的狂欢,easy-auth,哦!让我们连接我们的齿轮在一起!(加上呼吸的叹息!)毫无意义。
现在,让我们把这一点一点地放在乖戾的厌恶风险的云空间中:
- 哟,消费者,拿起酷炫的装备!忽略这个事实,我们一直在从你的(可穿戴、可驾驶、或者没有连接电源或以太网电缆的产品)到某个地方的某个数据库中,这样我们就可以尽可能多地收集情报(这些情报可能会被任何关心它的人忽略,或者被卖给一些将其用于你的个人精算评估的投标人)!
- 这个例子互联网茶壶显示没有一长串必须有安全的任何设备所看到的列表。因此,就系统安全而言,任何特定的设备都是一个未知的实体,无论是在你表面上的安全范围内,还是向云报告。更糟糕的是,在你的物理安全范围内的大多数可穿戴设备不仅要向用户报告数据,而且还要向你的办公室、家庭办公室或汽车内部的一些母亲报告数据,包括汽车数据本身。
- 这是否意味着我们现在必须扫描走进办公室、工厂、公司/组织交通的个人的IoThingie设备?这些设备都和普通的智能手机一样危险和流氓,也许更糟,因为在这个行业中,对于它们使用、保存、传输到母体的数据等方面,没有安全制度。这些小设备也会堵塞你的电线吗?您的云资源是否会因为发送步进数据而不是业务线应用程序的重要性而陷入困境?
- iothies没有辅助验证能力。考虑一下,您的组织适用于固定和移动计算资源的标准。畏缩。消耗Zantac。冲洗。重复。
- 云被大多数IoThingies视为完美的存储数据的地方,大多数产品都带有Leech,要求将数据存储在某处。没有人知道他们的做法是否像国歌,目标或opev一样邋..也许他们更好,我无法知道。但是没有固有的方法来证明即使是最适销的安全程序是实践,而且,无论如何,批准的良好的家政封印是值得的。没有行业组织在翅膀中等待这些认证,并承销商实验室,et al,没有被保险业击倒肩膀,激励组织遵守任何基础责任。
- 无人机。最佳FAA许可证是最恶化的。从我的观察结果来看,比CES 2016年的平板制造商更具无人机制造商。考虑一下。FAA许可也是最好的,无论是安全,行业还是无人机的用户都没有。没有检查计划,没有安全程序,没有安全计划,只有大量的无人机连接。关闭你的窗帘。是一款无人机在研发实验室做视频和一些屏幕上限吗?
- 蓝牙作为控制机制变得真实,与ZigBee,蓝牙和非Wi-Fi数据传输的组合一样。再次,没有安全方法,没有创建堡垒周边的方法。我看到yubico有一个新产品,是Yubikey NEO,该公司使用近场通信(NFC)进行智能手机认证,采用FIDO U2F标准。这是一个开始。
- 一些顶级的传统IT供应商正在适应这样一种感觉,即他们的商业生态系统可以通过微软的嵌入式产品、苹果的兼容性和有时的祝福,进军消费类产品,但大部分是开源的。许多内容也无法更新。从消费者产品内部的实际内容来看,软件出处通常是一个秘密酱汁,因此完全是个谜。在无害设备的表面之下隐藏着什么旧版本的SSH或物联网设备的根密钥?
消费和娱乐电子产品现在是“智能的”,这意味着充满了功能,这意味着微处理器、fpga和自定义cpu。除了了解这些设备的内部情况,您还需要加强安全性,并在本地安全和云资源方面坚定不移地努力。
二十年来,我一直在警告说,不存在所谓的安全边界,物联网将对这一点施加前所未有的压力。