物联网的智能应用正在带我们走进一个新的世界,智能家居、智慧城市和车联网等等的广泛应用,在带给我们便捷高效的同时也成为了黑客和不法分子所“觊觎”的对象。Gartner曾预测,到2020年,国内物联网安全规模为 600 - 1000 亿元人民币之间,针对企业经确认的安全性攻击中,有 25%以上将涉及物联网。就在最近的广东省“3.15晚会”上,智能门锁也作为一个案例被搬上消费者预警范围内,而当中最大的问题就是智能门锁的“安全”问题。
面对智能门锁应用层攻击,密码体系是身份认证及数据保护的核心,一个完整的“人工 + 工具” 安全生态体系在把控安全风险方面起着至关重要的作用。“北京云测信息技术有限公司(以下简称:Testin云测)首席安全顾问何迪生在苏州的2019 智能门锁标准与生态落地峰会上发表演讲时如是说。
何迪生毕业于加拿大滑铁卢大学,拥有近30年互联网和信息安全行业的从业经验。3月13日,在2019 智能门锁标准与生态落地峰会结束后,物联传媒乐智网就如何构建智能门锁一体化集成安全体系等问题,对Testin云测首席安全顾问何迪生进行了采访。
回归安全原点,建立 “人工 + 工具” 安全生态体系
”目前,物联网体系采用的技术缺少统一的标准规范,安全管理环境越来越复杂,用户面对的挑战与风险都非常大。如果不解决隐私、安全这两大问题,物联网对应的发展空间将会受到阻碍。”何迪生在接受乐智网采访时表示。
物联网大部分终端的电源功耗、存储空间、信道容量、计算能力都极为有限,在其上部署安全软件或者现阶段标行业准化的加解密算法都会大大增加终端运行负担,甚至导致终端无法正常运行。安全软、硬件产品无法正常发挥作用,致使物联网行业的相关领域存在严重的安全风险。
在智能家居领域,各节点受到的威胁与风险来自于云服务、无线通信、移动终端APP、智能家居终端(智能网关及终端设备)、Web终端APP等方面。其中智能门锁受到的威胁主要来自于应用层、硬件与固件、无线网络等方面。何迪生告诉乐智网记者,如果要把智能家居体系巩固好,必须要先巩固应用安全。
面对智能门锁存在的安全风险,该如何攻克这个难题?何迪生提出了感知层安全思路:身份认证以及数据保护,并就这两个方面从四个维度进行分析。
第一个维度是通过行业认证及适用于受限设备的轻量级密码。IOT设备(感知层)资源太小,不能把通用安全体系集成,存在数据泄漏等安全性风险,因此轻量级密码算法是保护的核心基础。第二个维度是白盒秘钥。由于没有受保护的秘钥比较容易被黑客盗取,这可能导致非常严重的数据泄漏风险,所以秘钥安全是我们核心保护的重点。第三个维度是MCU集成。通过把身份认证与数据加密保护方案集成到MCU架构(软实现),避免数据泄漏的风险。第四个维度是安全芯片。身份认证与数据加密保护在MCU里软实现还是存在可以被黑客逆向破解的风险,利用安全芯片为维护 IoT 安全性为现时行业最硬的方案。
最后,何迪生提到,要回归安全原点,尽量简化安全复杂性,建立一个比较容易管理及完整的 “人工 + 工具” 安全生态体系。其一,实现SDL安全软件开发生命周期,建立合适及易于实行的安全编码规范;其二,通过安全代码审计、安全渗透测试、安全加固等方面建立安全测试及加固体系;其三,在物理层、网络层、主机层、应用层、数据层等方面建立一个纵深防御体系来实行合适的安全策略,加强对核心数据的保护。
提高安全认证标准,围绕用户做一体化测试平台
随着智能门锁市场的急速扩张,建立安全认证的标准,便成为一件重要的事。何迪生所在的Testin云测是全球首家,也是目前全球规模最大的云测试服务平台,测试应用次数已超过两亿次。Testin云测旗下的安全服务部门在企业应用服务中以怎样的技术和服务赢得市场?
何迪生告诉乐智网,Testin云测是先进的应用服务平台,为全球超过百万的开发者和企业提供测试、安全、推广、产品优化、流量变现,及AI大数据解决方案,服务上能够从功能兼容性能到安全测试等全面覆盖;同时也是国家指定的27家专业密码评测机构之一,在安全与密码方面的实力得到国家许可。
Testin云测安全服务部门最核心的服务是帮客户发现不同层面的安全漏洞,在后期提出为客户修复漏洞的整改意见,提供测试一体化服务。例如,面对身份认证/授权缺失、隐私数据泄露、缺乏传输加密、不安全的Web应用接口、不安全的云服务接口等智能家居十大安全风险,利用传统的测试方法,客户需要联系不同的厂家才能解决所有的需求,而通过Testin云测安全服务部门就能一次性解决。
以Testin云测安全服务部门推出的“Testin CSLSC智能门锁安全认证”为案例,这套安全认证服务方案覆盖了应用层、网络层、感知层等三个层次,实现了10个维度 、50+个测试点的功能检测。在应用层上提供Web/H5系统,微信小程序安全检测、移动应用安全检测、授权认证安全检测;在网络层上提供蓝牙/BLE安全检测、WIFI安全检测;在感知层上提供机械锁体安全检测、锁体指纹识别安全检测、锁体密码策略安全检、门禁卡渗透安全检测、锁体安全策略安全检测等服务内容。
何迪生表示,每一位企业客户所要解决的痛点、需求可能不一样,要用专业安全的经验与思维进行分析,在每个场景里挖掘不一样的情况,提出不同的解决方案, 从多个维度构建一套完整的安全生态体系,从而达到低成本处理风险的目的。
未来,Testin云测安全服务部门将在安全领域加速探索,不断地完善自己搭建的测试平台 ,通过整合不同的产品与服务,全自动化触发安全漏洞测试平台,实现智能化的定制化测试,让智能门锁达到更高的行业安全标准。