在很大程度上,2016年的CES展会与其说是创新,不如说是一场哈欠式的成熟。是的,在IT设备之外还有很多有趣的东西,而IT设备可以像运行hadoop的200节点树莓派(Raspberry Pi)集群或极快的IEEE 802.11ac无线集线器一样有趣,这些集线器有无穷多的安全技巧。
损坏,诅咒,事件的总汹汹吝啬鬼是这样的:所有的一样的东西,新的INTERENT /物联网/ KewlGear没有凝聚力的安全策略。它的证书,易于权威性的渊薮,呵呵!让我们连接我们的装备一起!(添加气息叹息!)无意义。
现在,让我们把这个棘手的风险规避云空间,一点一点地:
- 唷,消费者,穿上最酷的装备!忽略了一个事实,那就是我们不断吸吮定位数据从你(填空的wearble,修好,或者不是tethered-with-a-power-or-Ethernet-cable产品)在一些数据库的地方我们可以收集尽可能多的情报(这可能会忽略任何可能关心或卖给一些投标人使用它为您的个人保险精算评估)是可能的!
- 的的例子互联网茶壶这表明,我们所看到的任何设备都没有一长串必须安全的清单。因此,就系统安全而言,任何特定设备都是一个未知实体,无论是在你表面上的安全范围内,还是向云报告。更糟糕的是,大多数在你的物理安全范围内的可穿戴设备都尽职尽责地不仅向用户报告它们的数据,还会向某些母机报告——它们来自你的办公室、家庭办公室或汽车,包括汽车本身的数据。
- 这是否意味着我们现在必须扫描走进办公室、工厂、公司/组织交通中的个人,以获取他们的IoThingie设备?每一种设备都和普通智能手机一样危险和流氓,甚至可能更糟,因为在这个行业中,没有关于它们使用、保存、传输到母舰等数据的安全规程。这些小设备也会堵塞你的电线吗?您的云资源会因为发送步行数据而不是业务线应用程序的重要性而陷入困境吗?
- IoThingies没有二级认证能力。考虑一下这一点,以及您的组织应用于固定和移动计算资源的标准。畏缩。使用雷尼替丁。冲洗。重复。
- 云被大多数人看作是完美的地方来存储数据,大部分产品都带有需要的数据存储地方的水蛭。没有人知道,如果他们的做法是草率的国歌,目标,或OPEM。也许,他们是更好的,我不知道。但是没有内在的方法来证明,即使是最温和的安全程序的做法,而不是审批的好管家印章是值得任何东西,反正。还有在两翼没有行业组织,等着做这些认证和美国安全检测实验室等,都没有得到保险业拍了拍肩膀激励组织要坚持什么,但基础的责任。
- 无人机。美国联邦航空局的许可是,在最好的,虚无主义。从我的观察,有更多的无人机制造商比在2016年国际消费电子展平板电脑制造商认为这一点。FAA许可也充其量,什么事也不做安全,行业或无人驾驶飞机的用户。有没有检测程序,没有安全程序,不存在安全程序,只存在与连接的相机无人驾驶飞机的巨大的数字。关闭你的窗帘。那是一个无人机做的视频和您的R&d实验室的一些屏幕帽?
- 蓝牙作为控制机制成为现实,Zigbee、蓝牙和非wi - fi数据传输的组合也成为现实。同样,没有安全方法,也没有创建防御周长的方法。我看到Yubico有一个新产品,theYubikey NEO,它使用近场通信(NFC)智能手机认证,使用FIDO U2F标准。这是一个开始。
- 一些顶级传统的IT厂商都在适应这个意义上,他们的业务生态系统能取得进展到消费产品中,微软通过在仪表板产品,苹果的兼容性,有时祝福,但大部分是开源的。钱也无法更新。在一个什么样的消费产品内部实际上是软件方面往往起源是一个秘密武器,因此总谜。SSH的什么旧版本或根密钥的物联网设备潜伏无害装置的表面之下?
消费和娱乐电子产品现在是“智能的”,意思是功能齐全,这意味着微处理器、fpga和定制cpu。您需要从本地安全和您的云资源两方面加强安全性,并毫不动摇地努力,而不是了解这些设备内部的内容。
二十年来,我一直在警告说,世界上没有所谓的“安全边界”,而物联网将对这一点施加前所未有的压力。