我们可以让人们摆脱互联网的安全吗?

我们如何为物联网提供更好的安全性(IOT)设备? Yevgeny Dibrov写道,网络安全可以完全改善技术改进。我不同意。这就是为什么我相信从IoT安全中移除人的人是“不可能的使命”。

by / December 30, 2017

我最近读了一个有趣的 哈佛商业评论 (hbr.org)文章yevgeny dibrov,标题为: 事情互联网将改变关于网络安全的一切.

这件良好的挑衅和思想挑衅的意见作品始于Cyber​​Threats在全球范围内爆炸的现实中,数据违规导致主流业务在2017年在停止网络犯罪时花费超过930亿美元。

此外,针对物联网(物联网)设备的网络攻击甚至更快地飙升,导致国会参与其中。 Gartner预计Hacker攻击中的三分之一将会瞄准 “阴影它”和 IoT by 2020.

在我们可怕的新普通网上,我当然同意Dibrov:“正在准备处理未来网络安全的挑战与他们的工具’一直在使用一直在使用,以便继续失败。”

毫无疑问,旧的捍卫网络企业的旧方法是失败,肯定需要新的安全解决方案。那么作者是什么’s solution?

答:以安全方程带出人们。

Dibrov写道: 它可以’t be denied, however, that in the age of increased social-engineering attacks and unmanaged device usage, 依赖于基于人的战略 is questionable at best…  

它只拍了一个点击导致vannacry和petya等恶意软件菌株下载的链接,以掀起级联,全球网络安全事件。这仅仅应该被视为绝对证据,即人类将始终代表企业防御的软骨。…”

文章继续解释“亚马逊回声易于空气攻击,” and 用户可能会考虑到生产率目标,但是根本无法依赖员工在可接受的安全指南中使用它们。 IOT培训和意识课程肯定不会做任何帮助,所以’s the answer?

是时候减轻你的人民(员工,合作伙伴,客户等)的网络安全负担。 ”

我的回复:错误的答案。虽然我当然同意人类往往是在线安全中最薄弱的联系,我们必须在装备员工方面做得更好,从网络安全负担中缓解你的人们正在进行错误的方向。人们使用技术,以及他们的行为以及所遵循的流程,将始终是与无数的新事物互联网有效的安全策略的基本组成部分。

传统的智慧仍然存在 解决方案必须涉及人,过程和技术 答案。正如我过去的写作,大多数专家都认为我们的安全挑战的最大比例涉及用户行动(或互动)。尽管如此,我愿意承认分配给每个类别的百分比崩溃是对辩论开放的,可能对各种产品,服务,公司和/或IoT设备不同。

但在我更详细地解释之前,我为什么要与尊重的首席执行官和armis联合创始人的方式,我想说我当然同意 我们需要更好的安全性,内置IOT设备。我当然认为IoT安全位于Cyber​​issues的尖端,我分享Dibrov’持怀疑态度认为,我们可以继续做同样的事情并得到不同的结果—在所有三个类别中。

毫不犹豫地,除了犯罪黑客外,几乎所有人都希望拥有物联网设备“secure by default” or “secure by design”在每个IOT框中批准的黑客证明密封件。

毫无疑问,在所有技术内建立的安全性需要更多的需要,如果我们彻底减少IOT安全漏洞以及最终用户可以制作的潜在错误次数,那就太好了。

但是,挂了 有效的安全意识培训和/or 积极的安全文化 反对更好的技术是一个严重的错误,最终导致令人沮丧的失败。历史教会了我们持久的安全答案必须包括“all of the above,”与人,流程和技术一起工作。

关于网络安全的短历史教训

因为我思考这些概念,特别是在前面建立了更多物联网安全的承诺,我可以’T帮助,但回想一下超过十年的比尔盖茨承诺更好的安全。这里’从微软的日子里,非常简短的历史提醒’值得信赖的计算。

2003年1月23日, 比尔盖茨写了这些众所周知的“通过设计安全”:

“默认情况下安全:在过去,如果客户可能希望使用它,则默认情况下通常启用产品功能。今天,我们正在密切研究何时将产品预先配置为“锁定”,这意味着最安全的选项是默认设置。例如,在即将推出的Windows Server 2003中,默认情况下将关闭内容索引服务,Messenger和NetDDE等服务。在Office XP中,默认情况下关闭宏。默认情况下在Office XP SP1中关闭VBScript。 “受限站点”区域中禁用Internet Explorer帧显示,这减少了HTML电子邮件中的帧机制的机会作为攻击向量。…”

虽然我十多年前赞扬了这些可爱的目标,但与微软采取的其他重要步骤提高了安全,悲伤的事实是,悲伤的事实是,许多数百个“补丁周二”已经来到了,比2017年以往比以往任何时候都更加黑客的系统。承诺“secure by default”远离技术行业软件,硬件甚至云托管服务的现实。

除了微软之外,其他公司对黑客最终发现的技术漏洞和安全漏洞具有相同的问题。即使技术产品乘坐启用所有安全设置,哪些不具有许多物联网设备的情况,最终用户通常会关闭安全功能或无法下载关键安全更新或DON’t遵循推荐的实践,例如更改默认密码。  

Yevgeny Dibrov不是第一个建议,无论人群如何安全’行动,他赢了’是最后一个。但是,我有些惊讶的是,这种观点仍然很受欢迎,因为我们进入2018年。

为什么?除了软件开发缺陷之外,我们目睹了几十年的人造成的人们,如爱德华斯诺登等人员,他们能够在人们中使用流程和弱点来克服复杂的数据保护。

根本没有办法,IOT制造商将以国家安全局(NSA)在技术上花费以保护国家秘密的安全性。然而,即使这些技术辩护也能被雪登利用的社会工程弱点击败— 比如同事给他们的密码.

外部黑客今天使用相同的技术, 如在RSA这样的安全会议上所示

最近对比特币交换的网络攻击代表了攻击在人们和过程的弱点如何攻击的另一个例子,尽管坚实的技术是据说是“黑客证明”的技术。 Just last week a 韩国比特币交易所宣布了副资料 在不到一年的第二次攻击后。评论员仍然保持这种情况后开发的这种情况 比特币货币不能被黑客攻击。也许是真的,但你的比特币钱包仍然可以袭击。在未来的IOT设备将继续使用类似的问题。 

有趣的电影和电视例子,以帮助了解人们在安全中的作用

我想认识到Dibrov说:“它可能是谨慎的,需要,让您继续提高认识计划,但如果您希望有任何成功的机会,您必须更依赖智能技术和自动化。…”

我当然同意。

尽管如此,现实是他的文章的主要观点来自文章末尾的最后一句:“It’是时候从讨论中删除人们并走向更聪明,安全的未来。”

真的吗?让人们摆脱安全讨论?

侧面注意:我立即将本文发布给我的LinkedIn和Twitter源,并在此反驳中收到了我在写作的内容的类似评论。来自同事的一些同样的评论出现在文章的底部 hbr.org..

此外,为了保持这种简单,我’D想提供为什么人们无法从中央安全讨论中删除的乐趣插图。在 (虚构)电影系列 不可能完成的任务, 通过人们利用的弱点持续克服最复杂的技术安全控制。

Ethan Hunt(由Tom Cruise发挥)和各种各样的男人和女性在虚构的美国不可能的使命力(IMF)中,面对不可能和危险的任务,这是一种不可能和危险的任务,这些任务是行动包装,最重要的有趣的观看。整个五部电影中的一个共同主题(2018年的六次即将到来)是人们仍然可以击败最先进的技术保障措施。

可悲的是,克服最先进的技术防御的黑客不仅仅是电影或电视节目 机器人先生。我们已经看到了无线电方式的方式,即通过欺骗人们可以通过追究事物或不遵循建议的安全性做出追随的事情来攻击IoT设备。可悲的是,黑客IOT设备通常比汤姆巡航拉出他的一部电影特技。

每个人都肯定同意这个目标 构建更多安全的IOT设备。人类肯定会犯错误,我们应该旨在尽可能多地自动化。就像我们安全飞行的自动驾驶仪一样,应该’我们努力打造盒子中的人力证明智能设备吗?

当然。而...我全部用于更安全的IOT设备,可以删除大多数最终用户错误或安全错误的可能性。

尽管如此,培训和与人和处理保护数据的流程将永远不会是安全的企业,房屋或个人的可选额外额外的额外。

假选择

HBR文章Yevgeny Dibrov 似乎提供了一个有吸引力的答案,因为它承诺无需更换企业安全文化的情况。它通过消除来提供虚假的希望“依赖于基于人的战略”为所有IOT设备提供完善的技术驱动或螺栓技术解决方案,提供更好的安全性。经理人想象通过减少员工培训和/或理解和实施具有创新技术的适当(安全)业务流程所需的时间来节省大量资金。

这一发明的冲突类似于几年后的另一个安全悖论,提出问题: 数据违规是不可避免的吗? 大多数人现在毫不犹豫地说“是”,但Invincea首席执行官Anup Ghosh告诉华盛顿新闻网站 DC Inno. 宣布预防预防措施“breach inevitability” is just marketing.

正如我当时写的那样,我们需要第三个答案,可以采用所有包含的智慧 NIST Cyber​​security Framework. 关于控制症和数据突破预防以及事件反应。

IOT安全性需要相同的整体方法。让’S不是牺牲一个安全最佳实践以换取另一个,仿佛我们需要选择技术保护,使人们能够更好地培训和参与糖克切。 NIST指导鼓励根据您的具体情况评估所有网络风险的优先级。它建议解决方案包含最终用户培训,开发人员和系统管理员的技术培训,网络安全练习,管理简报,可重复技术升级过程等等。大学教师’T跳过NIST Cyber​​框架的重要部分。     

最后的想法

IOT的更好的网络安全保护需要改进人,过程和技术。所以让’没有坑口人们在争夺美元的斗争中对技术保护问题产生问题—不要假装完美的黑匣子即将到来,这将使IoT Nirvana能够实现IoT Nirvana,同时从安全方程中移除人员和进程。

底线:爱德华斯诺登故事可以教许多重要的安全课程。但没有安全信息比这更为核心:人们和他们的行为,将在网络安全方面总是重要。

那么我们可以从IoT安全讨论中删除人们吗?不可能完成的任务! 


永远不会错过每日Govtech今天的故事时事通讯。

订阅


E.Republic平台& Programs