更新:保险商实验室已要求评论,这是在底部追加。
今天,保险商实验室宣布了UL网络安全保障计划。我不会称之为矛盾修饰法,但我对此深感忧虑。虽然我对UL很有信心,但我不确定他们是否意识到了自己所从事的工作的广度和深度。
UL是电器和CE齿轮上只有小孔的原因。为什么?所以一个普通的小孩不可能把东西塞进去然后触电。UL帮助产品供应商在合理范围内投保责任保险。为了保险起见,他们颁布了供应商有责任遵守的标准。测试实验室完成其余的工作,确保产品的第一个产品样本(然后,可能是后续产品样本)符合一系列标准——所有这些标准都是为了使产品更安全,但至少是可保险的。
网络安全,但是,是一个不同的动物,和我对UL CAP很是感慨。供应商必须揭露他们的设计,UL从而获得UL 2900标准的评价。设计是一个秘密武器。产品生命周期很短。合规性将是昂贵的,并且UL测试实验室中的专业知识将是CS梦想家和DEFCON无政府主义者的混合物。
我以前曾在NetworkWorld的这些空间中担任过保险商实验室的任务。另外,我还在上世纪70年代为大型消费电子产品制造商的QA/QC管理中处理过UL问题。从那以后,UL、消费类电子产品和我都取得了长足的进步。CE和物联网软件正在合并。这是我真正害怕的地方:UL已经抓住了一头落基山脉那么大的公牛。
今天,我们面临着各种各样的设备的连接,UL测试过的各种安全性能。他们有很多标准。美国通信委员会还要求对CE的排放控制对象,但新设备的不断冲击,短的生产运行,和变化无常的消费者意味着测试实验室,执法不严,从茶壶和设备植入defribillators被发现很容易受到袭击和劫持。哦,请劫持我的心。
UL今天上午在其公告中介绍,其新的UL 2900系列的可测试标准将“为网络连接产品和系统评估的软件漏洞和薄弱环节检验的网络安全标准,减少开采,地址已知恶意软件,审核安全控制,提高安全意识。”
如此看来很光荣的给我。但公告并未涉及普渡大学,麻省理工学院,卡耐基梅隆大学,斯坦福大学,USB,甚至沃巴什学院。IETF, IEEE, DHS, NSA, CIA, FBI,甚至是Kokomo警察局都没有。苹果(Apple)、三星(Samsung)、微软(Microsoft)、华为(Huawei)、联想(Lenovo)、惠普(HPAnything)、甚至Radio Shack都缺席了。
有没有忠诚的提,没有存在的重大安全会议上,没有全明星顾问委员会,网络犯罪的专家没有一个国际财团,没有试点用户程序的结果,甚至没有从波基普西部件制造商是说,他们认为他们的新网络-something将从UL 2900标准的绰号受益。
所以我想要对这个标准有更多的信心,UL也承认自己对此睁大了耳朵和眼睛。这一切都让我想起了宣布一个标准,并希望每个人都来参加聚会。事情是这样的:他们忙着灭火,甚至把火山扑灭。供应商们竞相在竞争中保持领先地位,而竞争对手则相互挥舞着镐头,做出最疯狂的秘密举动,既吸引新客户,又扼杀竞争对手。
UL 2900会吸引他们吗?他们会吸引保险公司吗?他们会引诱我吗?还有很多东西有待观察,但我对他们最初的声明中提到的广泛的工业能源感到失望。
更新:保险商实验室响应
亨德森当前位置然而,这一声明并没有涉及普渡大学、麻省理工学院、卡内基梅隆大学、斯坦福大学、USB大学,甚至沃巴什学院。IETF, IEEE, DHS, NSA, CIA, FBI,甚至是Kokomo警察局都没有。苹果(Apple)、三星(Samsung)、微软(Microsoft)、华为(Huawei)、联想(Lenovo)、惠普(HPAnything)、甚至Radio Shack都缺席了。
UL:UL与美国国土安全部,国家安全局爱达荷国家实验室,GSA和FCC在CAP的开发工作。UL也纳入行业代表性在发射前的试点方案。
亨德森回应:爱达荷国家实验室在接受记者采访时提到。需要注意的是显着的非政府组织上述未表示,虽然政府帮助设置公共政策,许多企业宁愿不处理政府安全机构对机构过去的错误行为,和一个包罗一切的任务的感觉。
亨德森:“有没有忠诚的提,没有存在的重大安全会议上,没有全明星顾问委员会,网络犯罪的专家没有一个国际财团,没有试点用户程序的结果,即使不是从波基普西部件制造商是说,他们认为他们的新的网络,一些将受益于UL 2900标准的绰号“。
UL:UL已经参加了多次重大的安全会议包括RSA和ICS西。此外,UL纳入行业代表性的试点方案推出之前。
亨德森的评论:在世界领先的以字符串“美国保险商实验室”和“rsac2016”搜索引擎的搜索没有结果。
亨德森:“合规将是昂贵的,UL测试实验室的专家必须是CS空想家和DEFCON无政府主义者的混合体。”
UL:UL通过收购以下公司获得了领先的网络专业知识:Infoguard、Acquirer Systems、RFI Global、Witham Laboratories和Collis Holding B.V. . UL还与First Data和Synopsys合作,为CAP项目提供测试工具。此外,UL还在亚特兰大开设了一家网络中心。
亨德森的评论:这些都不是操作系统厂商,笔测试,在IETF(根据其标准的互联网是建立),主要的应用程序制造商,互联网服务供应商,甚至亚马逊AWS。如果没有这样的舞伴communications--没有任何有意义的深度能力的基础不强,在我的愚见。
亨德森:“猛攻的新设备,小批量生产,且善变的消费者的手段是不断测试实验室落后,执法不严,从茶壶到植入除颤器设备已经被认为是容易受到攻击和劫持。”
UL:UL认证仅持续12个月,公司应寻求定期的重新认证。UL将不断更新和调整测试要求,以纳入最新的威胁。每两到三年,规格就会完全更新。
亨德森的评论:证书在12个月内失效的;心脏病人的植入物不需要/不应该在12个月内重新设计,公众也不知道12个月的显著标准是什么。对于某些供应商来说,十二个月是四个端到端的产品生命周期。
亨德森:“设计是秘密武器”,
UL:制造商们信任UL他们设计了一个多世纪。
亨德森的评论:我们是这样做的更好。然而,在家用设备,如茶壶,无线接入点,一路到美国OPM,国歌,目标,和无数人的神圣殿堂信任已经证明,即使是小型设备可令人难以置信的数据泄露方面explosive--。将苹果提交到实验室,其设计原则也由中央情报局,国家安全局,FBI--甚至FCC培养?这是我的信念,这种收养,给定的设计审查内一种装置,而不是所显示的特性外一个设备,如与FCC类型接受,成为一个冒险的游戏。