三步确定物联网安全
2017-11-07
技术的价值与其实用性直接相关,今日,物联网设备的先进性和数量正在重塑我们的文明。回想一下,在一天之中你有多少次直接使用操作系统或其他类型的互联设备?
很显然的,连接到网络的物的列表似乎正以大爆炸般的速度扩张。
但实用性是一把两面刃。如果“物”被连接了,那么就意味着它暴露了。如果“物”暴露了,就意味着可能被骇。除了让我们的生活更便利外,互联、植入式的医疗设备诸如心律调节器和胰岛素泵还可以保障我们的健康。但是,如果连接意味着脆弱的防御,那么这些设备的安全就会面临严峻的挑战。
事实上,我们对于技术的依赖胜过了我们使其更安全的能力。
Lars Lydersen是芯科实验室(Silicon Labs)的产品安全性主任,他曾是展示商用量子密码系统可以被骇的团队成员之一。直到Lars和他的团队证明之前,该系统都被认为是不可能被骇的。
正如Lars所见,在认识到物联网的安全性之后,有三样事情是开发者必须起而施行的。
一、采用系统性的方法
系统整体的性能取决于其最薄弱的一环,而有时候窥见一斑往往并不能让我们了解全貌,有了一个弱点,整个系统都会变得脆弱。但是整个系统的安全性需要谁来负责呢? 安全性常被认为是产品开发中的最后的一个步骤,一个可以被随意打开和关上的开关。事实上,安全性需要被看做是一个过程。在理想状态下,需要有一个专门的团队,其独立于架设系统的团队之外,并仅关注于质量保证。
无线系统是复杂的,当工程师们关注着使开发快速进行时,在一心追求此一目标下相关的代价就是欠缺了其他方面的考虑。而强大、系统性的方法可以转移这些危险,使得团队集中精力于他们擅长的领域。
二、正确使用技术
除了系统的方法之外,合理的使用知识和技术也是很重要的。好消息是,实现此一目的工具是存在的,这不像是初期简单的互联网没有机制保证连接的安全性。除了创新性,另一个挑战是透过正确的方式来运用技术。比如,关闭蓝牙或ZigBee芯片的安全功能可以透过消除加密的必要性来简化开发,进而降低调试所需的精力。这个方法因为可降低成本,所以从财务的角度上来说也会鼓励禁用这些功能。而另一个普遍的错误是,当芯片进入生产阶段时不关闭调试接口,如果终端用户连接到调试器,芯片将会完全透明。所以从一开始,就需要考虑最小化安全性工作的不便之处。
三、做一个良好的企业公民
最后,每个人都在物联网浪潮中施展身手:“从芯片设计者到消费产品生产者”,所以我们需要一起来承担责任。目前的机制基本上是要求“个人自扫门前雪”,所以每个人都“不管他人瓦上霜”,这样的后果,是整个业界甚至社会都会受到影响。当黑客袭击发生时,其后果远远不止利润的损失或者对单一品牌的破坏。更大的破坏是失去消费者的信任。与其他任何技术一样,用户体验是至关重要的,这些孤立、但大张旗鼓宣传的结果是,人们对于物联网的安全性越来越不信任,使得对于采用物联网技术会更加踟蹰不前。
这种延迟将会对每个人带来后果。
当然这些措施是需付出成本的,我们非常理解来自业务的压力,所以对于产品上市的时间之重视胜过了其他指标。但现实是,在我们目前所生活的时代中,黑客不仅仅只是在寻找一种窃取金钱、服务或数据的方法,悬而未决的关键功能可能是生死攸关的问题。
我们并不是在高估安全的重要性,但身为业界一分子,在设计时需要将安全性牢记在心,这不仅仅是为了最佳商业利益,同时也是企业责任的一部分。