物联网的脆弱性:我们没有跟上

物联网的脆弱性:我们没有跟上,第1张

根据 Gartner 的数据,到 2020 年底,到 2025 年底将有 750 亿台物联网设备在使用中。构建安全的物联网设备跟不上恶意软件的增长速度。尽管身份验证是任何安全范例的基本组成部分,但它还远远不够。

半导体工程界终于意识到,这种数字安全可能比保护专利更重要。不幸的是,没有足够的工程师对此做点什么,他们构建数字技术的速度比他们弄清楚如何使其安全的速度更快。

没有一家公司在圣克拉拉的 DesignCon 上展示他们对安全设计的贡献,可能是因为他们都不是。展会组织者确实请来了硅谷芯片设计大师 Warren Savage 就该主题发表了主题演讲。Savage 目前是马里兰大学 DARPA 情报和安全领域项目的访问研究员,在他一年的工作中,他开始相信硅谷的工程师和他们的公司对情况有多糟糕完全一无所知。

“工作不久后肯定有一个 OMG 时刻,我说,‘我不知道多少,’”他承认。“我们正在设计和构建技术,我们并不认为有人可能正在想办法破解它。对我来说,这完全是一个盲点。”

Savage 在主题演讲中表示,电子产品面临的最大安全威胁是在供应链中,那里有数十个潜在的攻击机。从设计芯片的无晶圆半导体公司开始,经过掩模制备和代工厂,一直到最终的分销点。硬件软件恶意软件可以插入链中的任何位置。他的幻灯片甚至展示了最终客户如何在软件和硬件中插入恶意软件,然后将其退回给分销商,分销商会将其“翻新”并连同恶意软件一起发送给另一位寻求交易的客户。

少数几家公司提供了部分解决方案,主要是在身份验证领域,最著名的是 Akamai、Okta、AT&T 和 Microsoft。所有这些解决方案都是基于软件的。“我们可以用软件修复它”,几十年来一直是硬件工程师的口头禅。但对于数字安全来说,这个概念是失败的。

“软件可以被复制、逆向工程和更改,” Intrinsic ID的首席执行官 Pim Tuyls 说,这是一家快速发展的公司,提供基于硬件的身份验证解决方案。Tuyls 说,真正验证数据的唯一方法是使用硬件基础。“所有通过软件做这件事的公司都可以补充我们的技术,但他们并没有真正与我们做的事情竞争。如果您在硬件中正确地进行安全保护,您将大大减少恶意软件的问题,并且您将拥有更强大的基础来将安全性构建到系统中。”

Intrinsic ID 技术可以对进入数据系统的用户进行身份验证,并可以阻止未经授权的用户尝试插入恶意软件。迄今为止,该技术已用于超过 2 亿台设备:亚洲的xyk/借记卡以及用于军事和政府系统的 FPGA。该客户群在过去一年中增长了四倍。但是,有一个问题。投入使用的设备数量增长速度快于使用 Intrinsic ID 技术的设备。

根据 Gartner 的数据,到 2020 年底,将有 50 亿台工业物联网设备投入使用,到 2025 年底将达到 750 亿台。构建安全的物联网设备跟不上恶意软件的增长速度。尽管身份验证是任何安全范例的基本组成部分,但它还远远不够。

在技术方面,Savage 指出,受恶意软件感染的 USB 设备可以轻松绕过大多数安全保护措施。

Savage 在他的主题演讲中表示,DesignCon 的至少一名工程师带着拇指驱动器上的恶意软件四处走动。可追溯到 2016 年的多项研究表明,在地面上发现 USB 驱动器的人中,多达一半的人稍后会在自己的计算机上使用它,这可能会感染恶意软件

Savage 提倡在全行业范围内采用“安全设计”范式,而不仅仅是保护单个设备和修补软件。这就是 Savage 在马里兰大学工作的核心原因。

Savage 表示,自 2012 年以来,了解安全的人都知道没有安全的硬件。他说,他所知道的每一所主要大学,包括马里兰大学,都有专注于破坏安全保护的研究项目。“唯一的答案是将攻击成本提高到不再可行的程度。”

与此同时,工程界需要一个真正的警钟,开始将安全性置于产品设计的最前沿。

我的Crucial Tech播客上提供了对 Tulys 的完整采访。随时欢迎您提出问题和意见。

 

供应链为物联网恶意软件提供多种攻击面  

      审核编辑:彭静

欢迎分享,转载请注明来源:内存溢出

原文地址: https://outofmemory.cn/dianzi/3001433.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022-09-27
下一篇 2022-09-27

发表评论

登录后才能评论

评论列表(0条)

保存