但谭晓生也坦承,目前安全领域尚未有应对此类攻击的灵丹妙药,“这不像对付病毒,装一个针对性的杀毒软件就行了,应对智能设备的攻击没法这样做”。对此,谭晓生提出了一个概念转换:从安全产品到产品安全。他解释说:“过去买一个杀毒软件装进去,或者买一个盒子隔离网络,我就能相对安全,这是做安全产品;如今你的产品从设计阶段就要考虑到会遇到什么攻击、协议是不是安全、固件更新机制是不是有问题、控制平台是不是有 洞,这一系列问题从一开始就必须考虑,在设计、制造、检验这一系列过程中怎样把安全的因素都嵌入进去,这个产品必须造出来相对就是安全的产品,而不是事后去打补丁。而且在今后产品运营的生命周期里要建立一个安全运维体系,而不仅仅是卖出去就完了,要提供持续的服务,并且这种服务首先是安全的。”
面对IoT带来的新的安全挑战,谭晓生呼吁,这绝对不是安全厂商一家可以搞定的,从产业链上下游,从部件生产到整机生产,再到今后的安全运营,需要大家的协同。“在这个协同中需要给安全厂商一个位置,这是很重要的!”
做安全:还是要从最基础的工作开始
在分享了关于IoT安全问题的诸多观点后,谭晓生话锋一转:“IoT安全,大家都觉得这个词特别热,新概念容易吸引人的注意,但对于做安全防御来说,它并不是最重要的事情。”他强调说,做安全,要想能解决大部分的问题,还得把一些最基础的活儿干好。
谭晓生表示,要把安全防线建好,得从四个方面的基础工作入手:
第一个基础工作是把 洞管理做好, 洞管理做好了以后,攻击难度就很高了。“逼着黑客用0day 洞攻击的时候,攻击成本就很高了,能够实施攻击的人一下子就少了。”
第二个基础工作是网段划分。“这就像在非典期间搞隔离,把非典病人都隔离到医院,这种隔离是防止威胁传播的非常有效的东西。对攻击者来讲,拿下一台终端,一进来却发现寸步难行,除了这个网段别的都去不了,网段之间还有各种各样的检测,就可以把威胁隔离在一个小的区域。”
第三个基础工作是用户身份管理和用户权限管理。“虽然这项工作比较繁琐,但把这个事做完以后,你会发现攻击者进来也是寸步难行。”
第四个基础工作是数据备份。“比如遇到敲诈者病毒,这是非常完美的一种‘商业模式’,它相当于现实中的绑架,绑架了你的数据,你不交钱就销毁数据,数据就找不回来了。针对这种攻击,最好的方法是数据备份。这也是特别简单的活儿,但弄完了以后很多对你的侵害都没有用了。”
在谭晓生看来,这些基础工作真的是企业安全最需要关注的。他说:“搞安全有一点,特别苦,这些基础的活儿有多少人愿意干?这就是最大的问题,人们会觉得这些事情挑战性不大,但恰恰是这些最基础的工作才能构筑坚固的防线!”