谁负责安全?

半导体工程坐下来讨论安全问题以及如何解决这些问题和马克·斯,高级产品营销经理在瑞萨电子安全解决方案;海顿·波维安全Thingz首席技术官;副总裁Marc Canel安全系统和技术手臂;首席技术官理查德•海顿Trustonic;安德斯开始,公司发展总监IAR系统。以下是摘录的谈话。

唐森:安德斯·霍姆博格,马克•Canel马克·谢弗海顿·波维理查德·海顿。图片来源:布莱恩·贝利

SE:安全问题的主要原因之一是复杂性。我们如何解决呢?

Povey对每个人来说都是一个巨大的问题:复杂性。无论你正在构建一个发电站或一辆车,它由一层在层的组件和系统。所有权需要嵌入在所有这些,从地上起来。需要身份提前被注入。需要有管理身份。我们需要的每个组件在系统的生命周期,并回到各个时间点。我们需要能够管理这些子系统,集成和集成的安全。但是有很多地方,很多复杂的代码,这是一个真正的挑战来管理所有这些。解决方案是简化。你需要了解单个组件以确保这些组件正常工作。 You need to own them, update them and certify them. Certification is a key piece of this. If you can’t formally prove the system is right, then it’s probably wrong. And you can only do that at the small level, whether that’s the microcontroller or the TEE (Trusted Execution Environment) level.

Canel:复杂性是一维的挑战。有分层技术,从物理知识产权,这将使信任的根源的关键是嵌入式,一直到应用程序和介于两者之间的。也有复杂的过程来构建所有的这些东西,供应他们,加载代码和加载密钥。最大的挑战之一是在整体没有标准化物联网世界。有垂直生态系统,这是否是在嵌入式世界或汽车。如果你从通用汽车,福特,你会发现不同的生态系统和不同的球员,不同的规则和要求。缺乏规范化和标准化使事情更复杂,因为复制过程和技术从垂直市场垂直市场。

SE:但更重要的是,对吗?这是一个支离破碎的生态系统。

Schaeffer:是的,和复杂性是超过大多数人的能力来管理它。一个很好的例子是Equifax黑客。首席执行官宣称一个人没有做他的工作。这是荒谬的。没有人反复核查这个人吗?还有没有其他安全机制?这是一家公司的首席执行官的工作是管理信任和安全。这是一个巨大的失败,它发生的整个频谱。人不被追究责任,或者他们无法理解,它是如此复杂。

海顿:理解是一个关键的部分。我们都说安全是好的,但人们不知道他们应该做什么。在一个复杂的生态系统,你怎么知道其他人正在做正确的事情吗?有很多人正在设计一个产品,安全并不是他们所设计的产品。这是他们应该做的。如果没有人持有帐户,没有人知道如何追究其责任,因为这是他们的秘密IP,你怎么知道是这种情况吗?

Schaeffer:没错,和一个很好的例子是TLS(传输层安全)堆栈。人们说他们有一个TLS堆栈,所有的安全,你可以信任的供应商。但供应键和键的存储范围之外的TLS供应商负责,甚至大多数人不理解这一点。

Povey:绝对的。应该有一个要求张贴安全最佳实践的一个标志。多数公司想做正确的事。它的核心我们都试图让产品,在市场上站在自己的两只脚,和提高可用性的产品。很多人都不知道从哪里开始与安全,。我在物联网安全基金会的执行指导委员会。我们要发布的最佳实践。这不是一个问题,这是你必须做的。这是一组最佳实践与一个清单你可以浏览并定义合规的水平。有这么多的碎片,你怎么知道你是安全的吗? It’s very difficult. You can spend a lot of money trying to certify, and you’ll probably never get there because systems are too complex. But at least if there is a set of best practices that can be applied to your product, to your organization, to your specification, then you can at least indicate you’ve gone through a process. You can manage that and manage some standards around the complexity that is inherent in any product.

霍姆博格:如果你从一个纯软件角度看这个。你提到了Equifax黑客。几年前我们有SSL堆栈黑客和去年Mirai攻击。那些引人注目的事情是软件问题。这很有趣,因为它并不重要,如果你获得所有硬件安全。你仍然需要你的软件。所有这些知名黑客归结为糟糕的软件质量。

SE:谁负责?是软件方面吗?硬件方面?OEM吗?

Canel:这是一个非常好的问题,这就是驱动的推出与一些系统的安全。没有人愿意支付安全。安全时添加一个监管要求,或当有声誉的风险。即使如此,我们看到公司像Equifax会发生什么。所以行业通常看起来很努力security-aside从政府和military-involve支付,尤其是在监管环境。这也是好莱坞电影公司和娱乐行业,关心的是保护他们的材料,和移动网络运营商,保护订阅。这就是为什么安全的基础元素SIM卡(用户识别模块)。责任通常在于展示系统的定义。如果你看看每一个行业,通常有一个主要的服务提供者与资产保护。他们会看看发生了什么在他们的供应链,无论是技术供应链或过程,他们将确保有正确的技术和水平的要求和正确的流程。 And then they make distributors or OEMs responsible for their own portion of the system. But you need to have someone with muscle who ensures that throughout the complete system everything has been taken care of.

Povey:如果你用航空制造商,为他们安全意味着这是正确制造一定的标准以某种方式使用适当的金属。它经历了正确的过程和正确的质量保证。他们管理这些数据资产。我们谈论的是相同的数字资产。你可以看到这种情况发生在汽车安全原因。这是发生在医疗。支付系统与银行发生的,因为没有它你会失去钱。现在是开始泡沫物联网。会有规定在某种程度上,但它将对这些特定资产的特定行业。

Schaeffer:计量供应商可能是最了解安全。他们总是谈论正确的钥匙回到工厂。有几个计量供应商和制造商之间的差异的医疗设备。CEO知道一米的黑客将直接影响到他们的收入。这不是一个责任问题。他们不直接赔钱。手机是一个很好的例子。另一个方面是,用户的动机攻击自己的设备。你不会攻击你的起搏器,但你会攻击你的电话。如果你看看谁有动机,它的首席执行官。 If you think about Equifax, there were probably dozens of people who knew there was a problem, but they didn’t have the power or the incentive to do anything about it. With security, you can do a really great job and the best thing that can happen to you is you don’t get fired. If you do a great job, no one notices. So where is the incentive?

SE:如果你做一个很好的破解,没有人注意到。

Schaeffer:那是真的。

Povey:前进,安全责任的人应该是首席信息安全官。那个人不应该只是负责,传入的数据。他们应该负责的安全、隐私和产品的管理,他们的船。你必须有管理层中有人谁拥有和驱动产品。他们需要管理流程和确保他们执行。安全传统上被视为成本。这是一个误称。它是整个下一代服务的潜在价值。它从事务性的销售,销售公司的小部件,使其战略和增加价值和创造一个长期的价值链。这些要求非常的管理者,人们必须承担责任。 The other part of this is that if the company gets this wrong, the C-suite takes the bullet. The CIO, CISO and the CEO are on the stand. They have the duty of caring for the company, the shareholders and the employees. That’s where security has to lie in an organization.

有关的故事
为物联网设备制造安全芯片
技术是改善,但对安全的需要。
IIoT增长,但这样做的风险
事工业物联网在一起,但安全是一个巨大的且不断增长的问题。
一个物联网芯片是什么样子?
随着物联网的定义的发展,这样的架构。
安全问题与异质性
供应链成为焦点,随着越来越多的处理器和记忆被添加到设备。