IOT IN RSA2017

RSA会议2017主题为“机会的力量”。RSA大会2017总监、总经理Linda Gray,诠释的核心思想是:拥抱机会,共建生态(安全产业链)。其中共建生态的前提就是互联。考虑到各安全厂商都在自己专攻领域深入研究多年,为形成全面解决方案或”生态系统“额外投入研发资源在陌生领域与陌生领域的佼佼者一较高下,绝非为最佳的公司战略。

联合的力量

RSA会议2017主题为“机会的力量”。RSA大会2017总监、总经理Linda Gray,诠释的核心思想是:拥抱机会,共建生态(安全产业链)。其中共建生态的前提就是互联。考虑到各安全厂商都在自己专攻领域深入研究多年,为形成全面解决方案或”生态系统“额外投入研发资源在陌生领域与陌生领域的佼佼者一较高下,绝非为最佳的公司战略。纵观RSA参展安全厂商亮相的创新方案可以看到“add-on”和“APIs”等与互联有关的词汇出现频率较高,主动联动势在必行。联合一定会激发行业无穷的力量,改变行业安全现状。

除了商业模式上的联合,IoT(Internet of Things-物联网)的联合则通过信息化将我们身边的电子/电气化物品编制在一起。通过大数据平台智能分析,将我们的生活更加科技化和智能化。

IoT会议剖析

在2017年RSA会议中,大会安排IoT的“SandBox“专场,优选了近8场主题分享,1场现场攻击演示和3场权威IoT讨论会。

在议题名为:“Ransomware, Drones, Smart TVs, Bots: Protecting Consumers in the Age of IoT“的交流中,通过2015年的物联网报告阐述发现一些来自物联网设备的拒绝服务攻击风险。

建议IoT相关从业者从设计之初就需要全面的考虑安全需求与设计;避免IoT设备采用存在缺陷的配置,如修改密码;在上线前应当对设备进行安全测试,并对发现的漏洞进行补丁修复。

主题名为:All Your Locks are BLEong to US的交流,介绍BLE(蓝牙低能耗)通常存在拒绝服务攻击缺陷,明文保存密码及无用账户较多脆弱性,很容易被嗅探,暴力破解和权限提升等威胁。并给出通过加密传输和本地加密方式应对密码被盗,嗅探及拒绝服务供给威胁。

主题名为:unexpected iot solar panels compromise的交流,强调在今天的物联网时代,安全是每一个厂商的问题。

主题名为:weaponizing iot的交流从2016及2017年主流的IoT攻击角度展开,并给出威胁建模,优化安全设计,对抗性测试和自我管控方面的意见。

年份 漏洞名称
2016 拒绝服务供给 加密文件泄露 key文件暴露 远程代码执行 后门 Runs as Root root账户运行
2017 缓冲区溢出 命令注入 会话管理

主题名为:medical device security considerations case study交流强调medical设备数据机密性,完整性和可用性出发,充分考虑资产架构,利用威胁建模方式在开发过程中部署安全策略;做好全面的应急响影响工作。

主题名为:IoT in Healthcare life or death交流给出医疗健康IoT网络架构示意图。

基于上述架构,部署的安全系统应关注可视化,风险评估和安全管理。

从上述的会议解析内容来看,IoT设备与传统的C/S及B/S架构常见漏洞相似,因此,除了IoT自身硬件安全问题需要联动厂家共同解决外,其他相关的安全评估、安全运营等工作可借鉴现有系统的安全建设方案。

安全观点

想要相对全面地解决IoT相关安全问题,可借鉴DevOps模式,DevOps(英文Development和Operations的组合)是一组过程、方法与系统的统称,用于促进开发(应用程序/软件工程)、技术运营和质量保障(QA)部门之间的沟通、协作与整合。简单理解:Dev为产品发布前的阶段,Ops为产品发布之后的阶段。

Dev阶段

IoT设备的厂商需要建立全生命周期的安全管控机制,从项目的需求阶段就需要根据功能需求导出安全需求,并依据安全需求说明书,完成安全详细设计方案,方案中明确针对每一类威胁的安全设计思路、参考API或参考代码片段,引导和帮助开人在后续开发过程中按照安全方案设计中的要求进行安全开发。

IoT应用整体开发结束后需要进行全面的安全评估,基于业务流程分析的结果,采用黑盒结合白盒的方式全面的发现存在的安全问题,并指导安全方案和防护设计的优化。

IoT应用承载硬件环境集成与安全配置管理,针对IoT硬件平台应具有经过推敲的安全配置基线要求,应用集成前进行严格的配置检查后部署到硬件盒子。

IoT设备整体测试,一方面确认安全设计方案防护思路的健壮性,一方面采用交叉测试挖掘“漏网之鱼”。

Ops阶段

Operations一词在安全行业更多地被理解为安全运营,运营一般由基础设施,企业数据及数据智能分析能力,运营流程,运营人员及能力,管理制度等相关因素组成。

针对先进IoT设备企业至少应建设漏洞管理流程,配置管理流程,应急响应流程,事件管理与分析,管理制度和人员等。

企业在进行安全机制建设时,需要重点关注支撑软件平台,平台易用性,大数据分析能力,人工智能分析,流程可落地性及可扩展性。这里的扩展性就能体现RSA大会的隐含主题:联合。联合到一定程度便具有大数据分析前提,结合人工智能分析,全自动的联合防护。

如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880

发表评论