就安全性来说怎么样才是足够好?
投稿人:DigiKey 北美编辑
2020-01-20
安全性是否足够好实际上取决于要保护的内容、受到攻击的可能性以及公司在试图保护资产时所配备的资源。各个公司在了解安全威胁方面都会有些迟缓。随着物联网越来越受欢迎,设备的实用性显著增加,但它们成为攻击目标的可能性也在增加。您的汽车、房屋或任何在线设备受到攻击的威胁真实存在。
在某种程度上,科技可以并且确实能让我们远离风险。问题是它们能否持续做到这一点。例如,如果人们认为“足够好”的数据安全性在云计算时代已经足够好,但是当公共云威胁随着云服务用户数量的增加而增加时,事实可能并非如此。
足够好的构成要素
在大型公司会受到安全攻击是家常便饭的时代,即使投入了大量保护资金,较小型公司也更容易受到攻击。许多企业仍然没有将网络安全视为减少潜在威胁的强制性措施。在几乎所有的安全漏洞案例中,企业都建立了“足够好”的控制措施,并且遵守了行业法规要求。
目标与权衡
一个重要的问题是,“您想要保护什么?”最终,这会定义您的安全目标。权衡涉及风险管理。您可以花多少钱,以及需要花多少钱来保护对您重要的东西。请记住,这意味着持续不断的支出。
通常,组织跟不上威胁的步伐,也不了解构成威胁的要素。首先要跟踪事件、泄露的数据、恶意软件、员工使用的设备以及采取了哪些政策来消除潜在的漏洞。已采取哪些措施?例如防火墙、移动设备网关、VPN,身份验证方法和加密。迄今为止,保护方法有多成功,是否可以量化?如果发生过攻击,是如何发生的?该威胁情报可以帮助确定优先级并合理评估现有漏洞。什么是不安全的?可以多快多好地修复这些问题?
当确实发生入侵时,必须分配资源以应对威胁、停止攻击并清理攻击结果。真正面临风险的是知识产权、个人数据、财务数据和商业机密,这些都会因只有“足够好”的保护而丢失。
实施预防和保护
许多漏洞可以相对轻松地解决。在某些情况下,它涉及特定的检测方法或通过实施特定技术来阻止访问。在其他情况下,可以通过防止篡改或建立无法篡改或更改信息的链路来消除某些漏洞。
预防方法的实现可以包括面部识别和指纹验证等技术。例如,Omron 的 HVC-P2 面部识别模块提供两个摄像头,一个用于远距离检测,另一个用于广角检测。这些模块使用 Omron 图像识别算法来确定人脸和身体的检测结果,并擅长估算性别、年龄、表情和其他面部特征。
图 1:Omron 摄像头模块提供的面部识别功能,远远超出特定的面部特征。(图片来源:Omron)
嵌入 HVC-P2 的设备会在用户不知道存在摄像头的情况下检测附近的用户。此外,利用现成的微控制器和摄像头组合,开发人员能够快速为嵌入式系统添加人脸识别。
另一个解决方案是 DFRobot 的 SEN0188,这是一款自足式、兼容 Arduino 的指纹模块。该模块具有高速 DSP,可与 MSP430、AVR®、PIC®、STM32、Arm® 和 FPGA 器件配合使用。由于能够存储 1000 个指纹,产品可支持指纹输入、智能图像处理,以及指纹比较和搜索模式。
图 2:DFRobot 的 SEN0188 指纹模块提供比较、图像处理和指纹搜索模式。(图片来源:DFRobot)
在安保领域,Infineon 的 Blockchain Security 2 GO 入门套件提供了一种快速简便的方法,可将一流的安全性构建到区块链系统设计中。该套件提供了一个适合各种区块链技术的评估环境,其中包括五张即用型 NFC 卡,并支持基本的区块链功能,例如安全密钥生成、密码保护和签名方法。
简而言之,区块链是基于一连串区块的去中心化数字分类账,每个区块都通过密码链接到前一个区块。每笔交易均受数字签名保护。Blockchain Security 2GO 入门套件采用基于硬件的保护机制,可安全地生成和存储私钥。
Maxim 的 DS28C40 防篡改和安全接口评估板提供了所需的硬件和软件来评估 DS28C40 安全认证器。该器件提供了一套源自集成非对称和对称安全功能的核心加密工具。除了硬件加密引擎提供的安全服务外,该器件还集成了 FIPS/NIST 真随机数发生器、用于用户数据、密钥和证书的一次可编程存储器、一个可配置的 GPIO 以及一个唯一的 64 位 ROM 识别号。
图 3:Maxim 的 DS28C40 安全认证器评估板为开发人员提供了一组核心的加密工具。(图片来源:Maxim Integrated)
DS28C40 的 DeepCover 嵌入式安全功能可为敏感数据提供多层高级安全保护,从而实现强大的安全密钥存储。为了防御设备级的安全攻击,产品同时采取了针对侵入性和非侵入性的对策,包括主动芯片屏蔽、密钥加密存储和算法加密方法。相关应用包括汽车零件的汽车安全验证、识别和校准、物联网节点加密保护、附件和外设的安全验证、固件的安全引导或下载、以及主机控制器加密密钥的安全存储。
指望“足够好”
“足够好”的安全性将永远是一个不断变化的目标。在大多数情况下,足够好永远不会真的足够好;因为市场发展太快。随着系统和黑客手法的复杂程度不断提高,“足够好”实际上就是指公司在保护资产方面愿意或能够负担的成本/回报率。
可成功实施的措施包括内部人员培训、保护公司网络的策略、身份验证和加密方法以及足够的技术,这样至少可以提供合理的保护。幸运的是,由于犯罪分子试图找到最容易盗用的帐户,因此,足够好可能意味着就是实施足以使犯罪分子远离您而转向他人的安全方法。
免责声明:各个作者和/或论坛参与者在本网站发表的观点、看法和意见不代表 DigiKey 的观点、看法和意见,也不代表 DigiKey 官方政策。