更新:保险商实验室已要求评论,这是在底部追加。
今天,保险商实验室宣布了UL网络安全保障计划。我不会称之为矛盾修饰法,但我非常担心。虽然我对UL有信心,但我不确定他们是否意识到自己所从事的工作的广度和深度。
UL是电器和CE齿轮上只有小孔的原因。为什么?所以一个普通的幼儿不可能把东西塞进去然后触电。UL帮助产品供应商在合理范围内购买责任保险。为了保险起见,他们颁布了卖主有责任遵守的标准。测试实验室完成其余的工作,确保产品的第一个产品样本(然后,可能是后续的生产样本)符合一系列标准——所有这些标准都是为了使产品更安全,但至少是可保险的。
网络安全,但是,是一个不同的动物,和我对UL CAP很是感慨。供应商必须揭露他们的设计,UL从而获得UL 2900标准的评价。设计是一个秘密武器。产品生命周期很短。合规性将是昂贵的,并且UL测试实验室中的专业知识将是CS梦想家和DEFCON无政府主义者的混合物。
我在这些空间中,在网络世界采取保险商实验室到任务之前。另外一个需要注意的:我还处理了UL在我的QA / QC管理作用,为各大消费电子厂商,早在20世纪70年代。UL,消费类电子产品,和我,都走过了漫长的道路从那时起。CE和物联网软件合并。这是什么让我着实吓了:UL已经采取了牛市的落基山脉的大小由角。
今天,我们面对的是各种各样的设备之间的连接,UL已经对这些设备的安全性能进行了测试。他们有很多标准。美国通信委员会还要求对CE的排放控制对象,但新设备的不断冲击,短的生产运行,和变化无常的消费者意味着测试实验室,执法不严,从茶壶和设备植入defribillators被发现很容易受到袭击和劫持。哦,请劫持我的心。
UL今天上午在其公告中介绍,其新的UL 2900系列的可测试标准将“为网络连接产品和系统评估的软件漏洞和薄弱环节检验的网络安全标准,减少开采,地址已知恶意软件,审核安全控制,提高安全意识。”
如此看来很光荣的给我。但公告并未涉及普渡大学,麻省理工学院,卡耐基梅隆大学,斯坦福大学,USB,甚至沃巴什学院。IETF, IEEE, DHS, NSA, CIA, FBI,甚至是Kokomo警察局都消失了。苹果(Apple)、三星(Samsung)、微软(Microsoft)、华为(Huawei)、联想(Lenovo)、惠普(HPAnything),甚至Radio Shack都缺席了。
有没有忠诚的提,没有存在的重大安全会议上,没有全明星顾问委员会,网络犯罪的专家没有一个国际财团,没有试点用户程序的结果,甚至没有从波基普西部件制造商是说,他们认为他们的新网络-something将从UL 2900标准的绰号受益。
所以我想要对这个标准有更多的信心,UL也承认自己对此睁大了耳朵和眼睛。这一切都让我想起了宣布一项标准,并希望每个人都来参加这个聚会。事情是这样的:他们忙于灭火,甚至是扑灭火山。供应商们竞相在竞争中保持领先地位,而竞争对手则相互挥舞着镐头,做出最疯狂的秘密举动,既吸引新客户,又扼杀竞争对手。
UL 2900会吸引他们吗?他们会吸引保险公司吗?他们会引诱我吗?还有很多东西有待观察,但我对他们最初宣布的广泛的工业能源没有留下深刻印象。
更新:保险商实验室响应
亨德森不过,这一宣布并未涉及普渡大学、麻省理工学院、卡内基梅隆大学、斯坦福大学、USB大学,甚至沃巴什学院。IETF, IEEE, DHS, NSA, CIA, FBI,甚至是Kokomo警察局都消失了。苹果(Apple)、三星(Samsung)、微软(Microsoft)、华为(Huawei)、联想(Lenovo)、惠普(HPAnything),甚至Radio Shack都缺席了。
UL:UL与美国国土安全部,国家安全局爱达荷国家实验室,GSA和FCC在CAP的开发工作。UL也纳入行业代表性在发射前的试点方案。
亨德森回应:爱达荷国家实验室在接受记者采访时提到。需要注意的是显着的非政府组织上述未表示,虽然政府帮助设置公共政策,许多企业宁愿不处理政府安全机构的机构过去的错误行为,和一个整体的任务的情绪。
亨德森:“有没有忠诚的提,没有存在的重大安全会议上,没有全明星顾问委员会,网络犯罪的专家没有一个国际财团,没有试点用户程序的结果,即使不是从波基普西部件制造商是说,他们认为他们的新的网络,一些将受益于UL 2900标准的绰号“。
UL:UL已经参加了多次重大的安全会议包括RSA和ICS西。此外,UL纳入行业代表性的试点方案推出之前。
亨德森的评论:在世界领先的以字符串“美国保险商实验室”和“rsac2016”搜索引擎的搜索没有结果。
亨德森:“合规将是昂贵的,UL测试实验室的专家必须是CS的远见者和防御无政府主义者的混合体。”
UL:通过收购以下公司,UL获得了领先的网络专业知识:Infoguard、Acquirer Systems、RFI Global、Witham Laboratories和Collis Holding B.V. . UL还与First Data和Synopsys合作,为CAP项目提供测试工具。此外,UL还在亚特兰大开设了一家网络中心。
亨德森的评论:这些都不是操作系统厂商,笔测试,在IETF(根据其标准的互联网是建立),主要的应用程序制造商,互联网服务供应商,甚至亚马逊AWS。如果没有这样的舞伴communications--没有任何有意义的深度能力的基础不强,在我的愚见。
亨德森:“猛攻的新设备,小批量生产,且善变的消费者的手段是不断测试实验室落后,执法不严,从茶壶到植入除颤器设备已经被认为是容易受到攻击和劫持。”
UL:UL认证有效期仅为12个月,要求企业定期重新认证。UL将不断更新和调整测试要求,以纳入最新的威胁。每隔两到三年,规格就会完全更新。
亨德森的评论:证书在12个月内失效的;心脏病人的植入物不需要/不应该在12个月内重新设计,公众也不知道12个月的显著标准是什么。对于某些供应商来说,十二个月是四个端到端的产品生命周期。
亨德森:“设计是一个秘密武器”,
UL:制造商们信任UL他们设计了一个多世纪。
亨德森的评论:我们会因此变得更好。然而,人们对家庭设备的信任,比如茶壶、无线接入点,一直到美国OPM、Anthem、Target等众多机构的神圣大厅,都表明,即使是小型设备,在数据泄露方面也可能具有难以置信的爆炸性。苹果会屈服于一个设计理念同样受到CIA、NSA、FBI——甚至FCC——推崇的实验室吗?考虑到设计审查,我相信这样的采用内一种装置,而不是所显示的特性外一个设备,因为是做了FCC类型的接受,成为一个冒险的游戏。