Acesso de alto desempenho para armazenamento de arquivos
Entre suas várias responsabilidades, Chris Young é o executivo da Cisco encarregado de liderar o seu desafio de segurança. Na semana passada, a Cisco Live! Austrália, Abutre do Sul conversou com jovens sobre segurança na Internet of Everything.
El Reg: Cisco colocou um valor 19 trillion dólares na Internet das coisas: como é que vamos pará-lo se tornar um honeypot 19000000000000 dólares?
Jovem: O que é importante saber, no final do dia, a maior parte do comportamento que estamos vendo - a maioria dos riscos e desafios da Internet of Everything espelha os riscos e desafios da sociedade. Quando eu penso sobre os ciberataques e as questões de segurança cibernética. No final do dia, o que está a fazer as pessoas?
Estão roubando dinheiro, eles estão roubando informações, ou eles estão tentando interromper as operações de alguém. Esses são todos os problemas que vemos no mundo físico. É só engrandeceu e escalado de uma forma que não podemos contemplar em nosso próprio mundo físico. Mas todos os motivos são humanos, no final do dia.
É certamente razoável esperar, como oportunidades monetários são criados, [que] não haverá criminosos que procuram explorar as oportunidades para seu próprio ganho.
Isso vai acontecer como vemos a evolução de JSCP.
El Reg: da Canonical Mark Shuttleworth [recentemente] escreveu que firmware proprietário é um problema incurável ... não importa o quão invisível o firmware parece quando alguém escreve isso, e sopra-lo em silício, paus-lo em um roteador em casa, envia o roteador para pessoas.
É apenas a determinação do atacante, se alguém decide "Eu estou indo para ver se há uma senha de fábrica embutido nesse dispositivo em particular", eles vão encontrá-lo.
Como é possível dizer "levantar todo o valor agregado a um passo de o firmware, fazer o firmware de um conjunto visível e aberta do puxador de API, e parar de tentar acreditar que o firmware é a base do nosso valor agregado."
Young: A realidade é - em segurança, muitos dos problemas de segurança, os criminosos estão indo para ir atrás de onde eles estão indo para obter o máximo de retorno para o que eles têm em mente. I se concentrar menos em vulnerabilidades de um determinado elemento da pilha, se quiserem - hardware, software, etc - o que é importante é que há sempre vai ser vulnerabilidades em qualquer produto que existe.
Um bom exemplo - algumas vulnerabilidades em produtos que poderiam ser exploradas para fins de segurança, são coisas que foram colocadas lá para que o produto possa ser testado.
O ponto é que o contexto se torna muito importante na reflexão sobre o modelo de segurança. Se seguirmos o contexto, temos de seguir o valor, se quisermos entender o que precisamos proteger. Isso é realmente importante.
A maior parte do movimento na indústria agora é que estamos nos movendo para mais modelos baseados em software, mais valor em software. Hardware é ainda importante porque você tem que ter desempenho e escalabilidade, mas eu espero que possamos obter o nível adequado de segurança, seja em dispositivos de consumo ou outros, pensando sobre onde ataques podem acontecer, e estar em uma posição para mitigar que.
Será que precisamos de atualizações?
El Reg: Se olharmos para os tipos de dispositivos que deverão prevalecer na Internet das Coisas modelo, muitos deles vão ser pequeno e não muito inteligente. Um monte de coisas não foi criado ainda. Agora que temos uma oportunidade de fazer a arquitetura antes de fazer o produto: se nós estamos olhando para um sensor que estamos esperando para durar dois anos na bateria, falando sobre RPL e fazendo um conjunto muito limitado de funções - doesn ' t faz sentido dizer "nós só precisamos de um pouquinho de execução no dispositivo", e todo mundo gostaria de ter atualizabilidade, mas isso não é um ponto de grande valor.
Não podemos simplesmente dizer que "a melhor maneira de impedir que alguém sequestrar o dispositivo" é congelá-lo. Se, então, quer mudá-lo - ele tem que ser uma razão convincente o suficiente para sair e colocar um novo lá. Isso não faz mais sentido do que a vulnerabilidade de segurança que diz: "se nós podemos empurrar software para essas coisas, alguém pode, também"?
Young: Esta é a conversa que tem com os clientes o tempo todo. Tudo contexto não é o mesmo - você tem que otimizar seu modelo de segurança para o contexto empresarial, e do ambiente em que você opera.
Se você tem um dispositivo que é 100 milhas da costa em uma plataforma de petróleo, então sim, você está indo a necessidade de ser capaz de gerenciar e atualizar isso, porque você não pode ir fisicamente e trocar algo remotamente. Mas se você tem máquinas virtuais no centro de dados, talvez você queira matar aqueles todas as noites, e reinicie-los na parte da manhã com uma "imagem de ouro", então você tem realmente bom certeza de que nada de ruim aconteceu para que máquina.
O contexto em que esses dois ambientes diferentes operar é muito determinista em torno do que o modelo de segurança vai e não vai permitir.
Vai depender do contexto - em que tipos de casos de uso que você está falando. Você falou sobre dispositivos muito pequenos. Para pequeno consumidor, tecnologia wearable, se você tem um dispositivo comprometida, talvez a melhor coisa a fazer é tratá-lo como um número de cartão de crédito comprometida.
Assim que o banco vê que você tem um cartão de crédito comprometida, o que eles fazem? Eles enviar-lhe uma nova.
A Internet das Coisas i-
El Reg: O relógio inteligente vai ser comprado, porque é legal. Ele vai ficar ligado para o telefone inteligente, porque esse é o modelo que o Google quer, que a Samsung quer, que a Apple quer, e assim por diante.
É a indústria colocando-se para um realmente grande reação na base que no prazo de seis meses, o que você tem é muito mais do que a vulnerabilidade é equilibrada pela utilidade do dispositivo. Para um brinquedo, os meus registos de saúde surgiram na Bulgária, ea maior parte de casos de uso foi "wow, brinquedo cool". Isso é demais vulnerabilidade por muito pouca utilidade, não é?
Young: Essa decisão - isto é onde eu acho que o usuário tem que assumir alguma responsabilidade por seus próprios interesses. Segurança ainda é responsabilidade de todos, se você está falando sobre a sua segurança pessoal, sua casa, seu negócio - o indivíduo ainda tem um papel.
Você não pode presumir que há alguma maneira de terceirizar todos os prestadores de abouts de segurança. Um bom exemplo, na minha própria casa eu gastar muito tempo se preocupando com as coisas que você só falou - o que vulnerabilidades existem, eu me preocupo muito sobre quando as pessoas vêm à minha casa e fazer o trabalho, quem recebe o quê código de alarme. Essas são considerações importantes.
No final do dia, o indivíduo ainda é a responsabilidade pela sua consciência em torno da segurança. E vai ainda mais longe do que isso. As crianças - que você levanta seus filhos, você ensiná-los que eles devem ser suspeito de. "Não fale com estranhos", "Certifique-se de quando você vai em uma viagem de campo da classe, você segurar a mão de alguém em sua classe, para que você não se perder."
Como seres humanos, nós começamos a aprender esses princípios muito cedo na vida, e não há nenhuma razão pela qual não deve começar a pensar sobre como isso se estende a um mundo de dispositivos e informações sobre nós mesmos conectados.
É inevitável que nós temos que fazer isso. Não podemos apenas supor que porque não há neste mundo técnico que existe no éter, que não vemos todos os dias, que nós não somos responsáveis por nossa segurança nesse contexto.
El Reg: E aqui, temos uma ilustração fácil, ou pelo menos alguns alcance desse limite. Um dos fornecedores de equipamentos solares, em todos os aspectos tido como o padrão-ouro na indústria [ainda] cada pedaço de seus navios de equipamento com uma senha padrão de fábrica imutável - bem, nunca podemos conectar isso à Internet, podemos?
Young: Em que mundo você colocar o consumidor na posição onde eles têm que optar por não utilizar esse produto, ou viver com esse problema.
Isso remonta ao meu ponto de que cada empresa é uma empresa de tecnologia, e cada empresa é uma empresa de segurança. Aqui está a coisa: em Cisco, eu sou responsável pelo negócio de segurança, a segurança é a minha vertical. Nós vendemos produtos de segurança que ajudam o cliente a resolver um problema de segurança.
Mas eu também sou responsável pela segurança como um horizontal, então tenho equipas de rapazes que trabalham com outros grupos - o centro de dados, networking empresarial, redes de provedores de serviços - para garantir que temos algumas práticas de segurança básicas sobre como podemos desenvolver os nossos produtos.
[Este é] o Ciclo de Vida de Desenvolvimento Seguro Cisco. Nós treinamos pessoas, ninjas de segurança, nós certificar pessoas e nós ensinamos a nossos desenvolvedores criem software e os nossos produtos de hardware com princípios básicos de segurança em mente, como senhas não embutir.
Essa é a coisa tipo que cada empresa vai ter que fazer, especialmente no que começar a pensar sobre como conectar seus usuários e dispositivos para algumas ecossistema mais amplo, ligado à Internet.
Todo mundo vai ter que seguir o ciclo de vida de desenvolvimento seguro. Todo mundo está indo a necessidade, a segurança fundamental básico. Identidade vai se tornar importante em tudo isso - e isso não é pedir demais de qualquer fornecedor, de qualquer produto.
Nenhum comentário:
Postar um comentário