有多少安全足够了吗?

半导体工程坐下来讨论的当前状态安全和将来必须做什么,丹尼斯•诺埃尔的网络安全解决方案NXP;哔叽Leef,新公司的副总裁导师图形;高级副总裁兼总经理Andreas Kuehlman小组软件的完整性Synopsys对此;西蒙•Blake-Wilson产品和市场营销的副总裁Rambus的密码学研究部门;劳伦斯•Loh组主任节奏;伯纳德·墨菲,首席技术官Atrenta。以下是摘录的谈话。

SE:当我们进入物联网的世界,安全问题有多大?甚至我们理解的含义呢?

Blake-Wilson:当我们谈论我们需要多少安全,这是一个很难回答的问题,。安全应该从某种风险评估开始。你应该定义你的需要的基础。对半导体特别是很难,因为产品的周期。如果你三到五年在部署之前,你不知道什么是风险。另一个方面是如何隔离硬件和软件之间的安全功能。你可以争论,需要在硬件非常安全。你也可以把它的参数软件补丁给你更多能力。所以你在看一个基于风险的方法,以及如何细分解决方案之间的硬件和软件。

Kuehlman:它有多么坏?真的很糟糕。的原因之一是,很少有人思考建筑的安全产品。他们专注于功能。安全始终是案件的角落。这是意想不到的,有人在利用。物联网,或者任何超越单一设备,网络效应。安全问题去连接的设备数量的大小,这是非常糟糕的。

墨菲:有一个非常有趣的纸ACM通讯的纵向调查。他们观察的影响在公众隐私和安全漏洞。为了做到这一点,他们监视Web点击特定的词,像美国国家安全局。在所有情况下,你会看到一个激增问题,然后它会下来。这是真正的在德国在德国总理安格拉•默克尔(Angela Merkel)的故事。有一个峰值,然后又下降。所以消费者并不在乎。我们关心的是易于使用和功能,但安全和隐私太抽象。

Loh:回到西蒙所说,你必须做出决定多少将在软件和硬件。需要视情况而定。但一个可控的方法是有一个非常清晰的理解。如果软件应该处理某些事情,那么软件的人只应该担心这些事情。他们不应该担心一个问题与硬件,允许它给出的信息。如果硬件只应该做某项工作,设计师不应该扩展他们在做什么来掩盖的发生了什么软件。这是一种方法来保持——当然,我们从来没有能跟上,因为它是一个移动的标靶。总是会有更多的问题。防御黑客的人在数量上严重。黑客们合作得很好。 Anytime a vulnerability shows up, they share it on the Internet and people exploit it. Security on the other hand is a guarded secret. If you’re implementing security you’re reluctant to say how you do it.

Leef:当你跟风险投资资金的物联网,他们每天听到容错的音高。球都是端到端解决方案。物联网是一个实现细节从投资者的角度来看。观察是淘金热。人们纷纷用智能草坪洒水装置,烤面包机和洗衣机和边缘节点被极度脆弱。他们经常上网和下载软件。这只是要求木马。这些人甚至不合格评估其安全需求。他们急于获取领土,边缘是最脆弱的地方。每个人都希望在基础设施的攻击。 We have firewalls and security that is very expensive to break. But at the edge nodes they don’t know anything about security and, more important, they don’t care. As for the tradeoff between the hardware and software, hardware needs to be the root of trust. You can think you have root of trust in software, but the reality is that the hardware is the only thing that can improve your trust.

Kuehlman信任的根:你是什么意思?

Leef系统:你相信吗?你可以制造许可证IP和后缘在铸造和添加自己的IP,它提供了一个后门。那你包成一个部分,看起来非常像你作为消费者或者另一部分系统集成商不能区分。你认为你能信任的硬件。所以你需要确认你可以信任底层硬件,因为所有的安全层上面建造变得无关紧要。

诺埃尔:问题是极其严重的。每个人都是非常兴奋的物联网。它开辟了很多新的功能,可以改变我们的生活。但很多人没有意识到的物联网到底是什么,以及它将如何演变。有很多方面,很多球员试图进入市场现在只是推出一个产品。安全被认为是一些将慢下来的推出物联网设备。的反应是,‘它会没事的。的安全确实是一个端到端的解决方案。您需要了解的散列节点、网关、云服务。

SE:但这是假设您理解什么是结束,对吗?

诺埃尔:没错。不仅仅是如何确保您的无线网络。随着物联网连接超出了你的网络。另一个问题是,你可以有一个安全系统有三个或四个设备运动传感器,一个锁传感器和一个网关和消费者购买不安全的产品和他们的家庭网络,这可能危及整个网络。供应链是全球性的。你真的相信什么?这将是有趣的,看看保险公司会认为如果你安装新设备,以及政府将面临这个问题。与智能电网能量时,又会发生什么呢?有一些计划。但是物联网呢? Will governments raise the bar?

Blake-Wilson:我们表示关注的人数考虑安全因素。我认为这是进步。安全已经受到了太多的关注在过去的几年里。你开始看到物联网安全会议。这是一个迹象。在过去,这只是一个营销chatbox。现在这是一个真正的问题在桌子上。

SE:在什么级别吗?是发生的硬件,还是企业软件和网络?

Blake-Wilson提高各级。它不需要在任何级别。

Kuehlman:真的要坏之前人们注意。然后就好一点。所以在这一点上它不是坏的。这只是坏。我想要一个有争议的statement-hardware安全问题更少,除非它的支持软件。安全并不是什么新鲜事。有抢劫银行和房屋入侵多年。是什么让软件如此不同?因为可以自动攻击,它可以是全球性的,它可以从世界上任何地方。你可以规模。 If it’s 1% of devices, that’s still a huge number. That’s what makes it really dangerous. Human beings cannot think exponentially. They don’t understand exponential complexity.

墨菲:的ROI是惊人的。

Leef:软件人们通常远远超过硬件的人。所以有更多的人熟练的和执行软件来防止攻击的能力。

Kuehlman:他们可能不是更熟练。

Leef:好吧,但有一个更大的人口谁知道如何做软件。