设备变得更安全吗?

添加安全芯片设计变得越来越盛行了更多的设备连接到互联网,但目前还不清楚这是否足以抵消爆炸在连接的“东西”。

安全问题已经在过去5年增长,开始一连串的高调攻击零售场所,酒店会员俱乐部,和Equifax,三大征信机构在美国。也有2016的Mirai僵尸网络攻击动力学,和违反美国选举制度。和最近,硬件漏洞被谷歌去年开始公开Project Zero崩溃,幽灵和预示。

考虑到标题,这看起来可能是一个灾难性的电子产品。在幕后,不过,似乎是真正的进步。越来越多的移动设备内置与一些安全运输,设备制造商似乎应对策略,并非所有连接设备将是安全的。实际上,它的每个设备本身,这可能是最好的策略。

“一切始于意识和严峻的头条新闻,”海伦娜Handschuh说,研究员Rambus“密码学的研究部门。“理解发生了什么帮助意识。现在的问题是我们是如何发展的,我们可以构建系统相连,但安全,因为有越来越多的连接系统。”

代表一个重大战略转变,因为目前安全设备连接到互联网有一个直接连接到设备通过不安全的设备。

说:“我们需要更多的端点安全Handschuh。“如果你看看电脑行业和网络,有很多方法来检测安全问题之后,然后试图减轻他们。无论多么好你的安全,最终可能出错。”

而不是把安全周围一切,每个设备需要做出适当反应,和个人。

“如果我说我有独特的IP所有这些连接服务和想要连接到多个服务,我只是增加了攻击表面,”菲利普·迪布瓦说,物联网安全解决方案高级总监和总经理NXP。“每个入口点应该有一些连接和某种程度的安全。”

迪布瓦说,NXP的一些客户使用平板电脑的工厂配置机器人。“最大的机器人价值数百万美元,”他说。“你不希望任何人控制它,所以我们确保我们有一个安全通信和控制和机器人之间的平板电脑,因为他们都有资产保护”。

态度的转变
其中一个大的变化是认识到一些必须要做的事,这在过去的一年里变化尤为明显。虽然大多数消费者不想支付额外的安全,制造商的风险是一个日益严重的问题。和法律责任,特别是在欧洲,正在成为一个严重的威胁在安全公司未能实现最佳实践。

“一年前有公司不想接受教育,”安迪说,业务发展总监手臂。“他们质疑为什么安全需要好,他们为什么要当真,因为有一个性能影响。连接相机和汽车被召回,人们开始明白这些产品被召回,他们将不得不替换他们。在过去的一年里开始改变。”

这似乎是安全专家之间的共识。“我们开始看到更多的设备,都有内置的安全,“海顿·波维说安全Thingz的首席执行官。“以前,这是相对有限。这是非常高端的设备。现在我们开始看到安全进入主流。我们看到一些低端设备进入市场安全。今天这是偶尔发生,但是,后面还有很多。还有立法将帮助这个。”

在美国,加利福尼亚颁布了一项法律要求制造商为连接设备配备合理的安全特性来防止未经授权的远程访问或使用。在欧洲,数据泄露必须报告72小时内的公司或组织意识到违反或风险陡峭的经济处罚。在上市公司中,公司官员也可能举行个人负责的决定可能会导致的经济损失一个公司。

“作为一家上市公司,董事会对重大压力影响安全的事情,”安东尼·安布罗斯说,总裁兼首席执行官的数据I / O。“但更大的风险是一个公司的品牌和声誉。”

尽管有风险,安布罗斯说,许多公司仍然认为安全税。“你需要增加5%的研发预算数据被盗。你还必须应对供应链和下游的安全。但是如果你投资于安全,您可以保护品牌和数据。”

不过,这并没有打击网络犯罪的增长统计数据。根据一项安全威胁报告从赛门铁克,ransomware攻击的数量在2017年比2016年增加了46%,和移动恶意软件变种的数量比前一年增加了54%。公司报道,恶意硬币矿业的发展,“物联网设备也将开发成熟的目标。”

前最脆弱的家庭和办公设备路由器,电脑,打印机,根据比特凡德。

改变优先级
只是添加安全系统制造时不一定解决问题,特别是如果这些系统将使用在未来十年或二十年。今天被认为是安全的是不可能安全的在5到10年内,汽车,医疗和工业应用电子在哪里应该持续15到20年,这提出了一个问题。

什么是必要的有一系列的更新整个软件栈,并创建自己的一组问题。

“很多事情让这个困难,”说Eystein Stenber,修理者的首席技术官说,在最近的一次演讲。“例如,如果发生了糟糕的事情在这更新,你没有物理访问,或者是非常昂贵的物理访问一般修复这个问题。你需要管理在更新过程中失败的方法。如果你有不可靠的权力,如果你在更新过程的中间力量消失,将会发生什么你下次启动设备吗?是要回来还是会在一些不一致的状态吗?你有网络方面,所以你可以在任何时候失去连接。然后安全的网络是一个大的方面,。你可以有人听你的谈话或连接更新服务器。”

Stenber说,这是经常发生当公司开发自己的更新技术。“他们不会过多考虑安全,”他说。“如果你附近的这些设备之一,有例子可以注入任何你想要的软件更新和接管设备。”

目标是有足够的安全层,就难以保证黑客的努力。虽然这可能是国家从未如此攻击其他国家的安全,是有限的价值商业黑客。使攻击表面有吸引力的是数据的价值,这可以是一个特定设备或多个设备可以是一个入口点都使用相同的密码,例如。

“你需要建立这个硬件的信任根向上进入软件,“说Rambus Handschuh。“我们的目标是水平隔离和垂直隔离。让你加载一个应用程序,然后另一个没有风险的。我们开始看到解决方案出现。”

普遍的共识是,没有一种方法提供了足够的安全抵御攻击,有足够的数据或控制一个设备的价值。

“即使我们解决对安装或设备的主要安全问题,它不会覆盖了廉价的或离散设备,和基于硬件的安全取决于芯片周围的安全,不仅仅是安全的,”迈克尔说,设计安全主任导师,西门子业务。

在硬件方面,解决方案包括从软件加密,加密处理器和身体unclonable功能(PUFs)。

“有很多技巧可以应用,取决于你想要安全,”陈先生说。“你可以安全的元素添加到一个设备,如安装一个独立的芯片用于安全。他们需要单独的钥匙,让你把自己的问题,你想要的设备安全。另一种方法是出售IP到硅衬底和把它在RTL代码”。

人工智能问题
电子工业才刚刚开始看所有这些是如何影响人工智能、机器学习和深度的学习。“毒代码”算法,如果不及早发现在培训方面,可能导致不必要的行为在大量的设备。这不仅包括由这些算法训练设备,但设备使用这些算法训练的其他设备。

“你需要定义一个框架,人工智能和机器学习可以操作,“说安全Thingz Povey。“这需要一个失效模式分析。会有攻击和机器学习中会有毒药的代码。你需要金丝雀,因为很难修复算法。你需要非常小心这个。”

结论
电子安全一直都是一个持续的问题,和进步是相对变化值。但随着越来越多的违规曝光,和更多的设备连接到互联网,,真正的潜力是刚刚开始被理解。

在他的主题演讲手臂TechCon,手臂首席执行官西蒙segar表示,70%的受访者认为安全为根本,25%说这是好如果没有花费太多,和60%的人认为它可能是一个产品的区别。

至少,这引起了大家的关注,这是一个重大的进步在过去的一年。

苏珊兰博对此报道亦有贡献。

有关的故事

发现安全漏洞在硬件

量子随机数不会过时的加密

硬件安全威胁不断上升

为什么IIoT是不安全的吗