인터넷 보안의 별표 없음

안전 과학 회사 UL의 보안 Oompa Loompa 직책을 맡고있는 Andrew Jamieson에 따르면 세 가지 유형의 보안 위협이 있습니다. 그는 그것을 “보안 DIY”라고 불렀습니다. 자발적이 아니라 고의적이고 무의미하며 아직 발견되어야합니다.

백도어 및 원격 데이터 전송과 같은 고의적 인 위협은 코드 검토로 해결할 수 있습니다.

취약한 보안 구성이나 나쁜 설계 선택과 같은 무분별한 위협은 침투 테스트를 통해 발견 할 수 있습니다.

그럼에도 불구하고 위협이 발견 되었습니까? 이것은 사용중인 소프트웨어에서 알 수 없거나보고되지 않은 취약점입니다. 버그 일 수도 있고 전혀 새로운 유형의 공격 일 수도 있습니다. 당신은기도해야합니다.

보안 평가는 시간이 걸리고 비용이 들며 가능한 모든 문제를 발견하지 못한다고 Jamieson은 수요일 호주 골드 코스트에서 열린 AusCERT 2016 정보 보안 컨퍼런스에서 말했다.

이러한 평가는 대형 티켓 품목에 비해 충분히 비쌉니다. Internet of Things (IoT)를 사용하면 장치가 더 저렴 해지고 공급 업체는 더 많은 기능을 추가하며 끊임없이 가속화되는 디자인 – 프로토 타입 생산주기는 적절한 테스트를위한 시간을 거의 갖지 못합니다.

소비자들은 보안에 신경을 쓰지만 지갑으로 투표한다고 Jamieson이 말했다. 왜 그랬을까요? 동일한 기능을 가진 두 개의 장치가 있고 그 장치를 차별화 할 다른 장치가 없다면 왜 더 비싼 장치를 구입할 것입니까?

공급 업체는 제품에 보안을 구축하는 데 시간과 비용을 투입 할 인센티브가 없으며 출하 후에는 인센티브가 적게 패치됩니다. 아니, 내년에 새 모델을 팔고 싶어.

Jamieson의 주요 관측은 IoT 보안이 상업적인 문제이므로 상용 수정이 필요하다는 것입니다. 그리고 그 수정은 가능한 한 적은 시간과 돈을 가져야합니다.

Jamieson이 제안한 솔루션은 소비 가전 제품의 에너지 및 수자원 등급 또는 미 교통부의 자동차 별 5 성급 안전 등급에 따라 “보안 등급”등급이 적용됩니다.

명백한 문제가 있습니다. 서로 다른 제품, 아키텍처 및 보안 요구 사항을 어떻게 객관적으로 비교합니까? 비용이 많이 드는 코드 검토와 모든 릴리스의 펜 테스트가 필요하지 않습니다.

Jamieson의 답변은 간단하게 유지하는 것입니다.

장치는 세 가지로 정의 될 수 있다고 Jamieson은 말하면서 모두 공격 대상 전체에 영향을 미쳤다고합니다 : 인터페이스의 수와 유형, 입력 및 출력, 공격 공격 표면 및 시스템 아키텍처. 우리는 “단지”이것에 대해 몇 가지 메트릭스를 감쌀 필요가 있다고 그는 말했다.

메트릭스의 즐거움은 단지 킬로그램처럼 그들을 만들 수 있다는 것입니다.

Jamieson은 논리 보안 태세 (Logical Security Posture, LSP)라는 측정 기준을 제안했습니다. 장치는 보안 기능에 대한 점수를 얻고 공격 표면을 증가시키는 기능에 대한 점수를 잃습니다. 펌웨어를 업데이트하겠다는 약속이 없다면 자동 0 별 실패입니다.

별 수는 “안전 년 수”에 따라 발행되므로 “4 별 2018까지”는 “5 별 2015까지”와 다르며 후속 서비스에 의한 정기적 인 현장 검사로 제품 별을 지울 수 있습니다 은밀하게 디자인을 바꿨습니다.

이것이 어떻게 작동하는지에 대한 자세한 내용은 Jamieson의 프리젠 테이션 슬라이드에 있습니다.

보안, FBI가 Crackas 회원을 체포하여 미국 공무원 해킹에 대한 태도, 보안, WordPress는 중요한 보안 구멍을 고치기 위해 사용자를 업데이트 할 것을 촉구하고 보안, 백악관은 첫 번째 연방 정보 보안 책임자 (COO)를 임명하고 보안, 펜타곤은 사이버 정부 감시원의 비상 사태 대응

5 성급 평가가 4 가지 기기보다 광범위하게 기기를 사용할 수 없다는 것을 소비자가 깨닫게 해주는 교육이 제공된다면, 이는 모두 훌륭한 아이디어입니다. 다른 기기와 동일한 기기를 구별 할 수 있습니다. . 농장에서 카메라를 너무 걱정하지 않거나 어린이 놀이방에서보다 안전한 곳을 선택하면 안전하지 않은 장치를 선택할 수 있습니다.

별 등급 시스템을 운영하는 프로세스는 타 산업 분야에서 잘 정립되어 있으므로 관료주의 모델을 복사 할 수 있으며 등급을 수행하는 방법을 알고있는 UL과 같은 회사가 있습니다.

하지만 몇 가지 중요한 문제가 있습니다.

Constellation Research의 디지털 안전 및 개인 정보 보호 담당 부회장 인 스티브 윌슨 (Steve Wilson)은 보안의 일부 측면은 규모에 맞게 정연히 앉지 않는다고 지적했습니다.

나는 의사에게있어 공기 죄수에게 3 성급 등급의 힘을 보아라. 나는 조금 슬퍼하지만 여전히 위생자일지도 모른다. “윌슨은 짹짹이기도했다.”의사의 경우, 오토 클레이브는 불임에 대해 5 개의 별 중 3 개의 별을 가질 수있다. 기다릴 필요가 없습니다. 안전은 합격 / 불합격입니다. “라고 덧붙였다.

소비자가 가격이나 편의를 위해 증권 거래를하는 방법을 실제로 알 수 있습니까? 그러한 문제는 건강에 좋은 음식 등급에 대해 존재합니다. 아침 식사 때 어떤 탄수화물을 섭취하지 않기 때문에 원하는만큼의 소시지를 가질 수 있다고 결정하는 것과 동등한 보안 기준은 무엇입니까?

거대한 독립적 인 libertarian – leaning IoT 산업이 협력 할 수 있을까요?

나는 또한 수정할 수없는 큰 문제점을 보았다. 보안 위협 환경이 빠르게 변합니다. 매우 빠릅니다.

자동차 산업에서 제품 안전 리콜은 대개 단일 제조업체의 설계 또는 생산 프로세스 및 단일 모델로 제한됩니다. 그러나 소프트웨어는 자동차의 물리적 디자인보다 훨씬 복잡합니다.

아직 발견되지 않은 위협 중 하나가 나타나면 LSP 스코어의 전체 범주가 무효가 될 수 있습니다. 이는 이제 실패한 디자인 패턴을 사용하는 전체 디자인 범주를 잠재적으로 전체 장치 범주로 무효화 할 수 있습니다.

당신은 포괄적 인 통보, 재평가 및 회상 체제가 필요하고, 빨리 일해야 할 것입니다. 그것은 비싸게 들린다. 매우 비싸며 30 달러짜리 팔찌입니다. 그럼에도 불구하고 그러한 결함은 소비자의 스마트 폰을 통해 블루투스를 통해 모든 개인 데이터와 함께 확실한 결과를 제공 할 수 있습니다.

나는 정말로 보안 등급 등급 아이디어를 좋아합니다. 나는 단지 그것이 일어나는 것을 보지 못한다.

공개 : Stilgherrian은 AusCERT의 게스트로 골드 코스트로 여행했습니다.

FBI, 미국 정부 관료 해킹에 대한 태도로 Crackas 회원을 체포

WordPress는 사용자가 중요한 보안 취약점을 수정하기 위해 지금 업데이트하도록 촉구합니다.

백악관, 연방 정보 보안 책임자 (Federal Chief Information Security Officer) 선임

미 국방부, 정부의 감시로 사이버 비상 대응 비판