|
|
|
|
Black hat亚洲服务器安全:分散的信任,我们可以确保整体的安全 |
(转载:www.idcew.com)随着物联网(IoT)数十亿的设备预计将连接到end-2016网页,更合适的策略将需要更好地打击潜在的攻击,说佐威,在广场的移动安全领导,在他的主题演讲星期四在黑帽亚洲2016日在新加坡举行。 “物联网,有需要分散的信任…在所有这些设备中拥有最终的信任将变得越来越危险。如果我们能分散的信任,我们可以确保整体的安全,”Zovi说,指出分布式控制和数据共享这些设备可以防止一个违反设备被用作勒索或传染其他人在同一个网络,如网络个人主页。 也应该是“一个信任的锚”的任务,以提供安全的主要层面,其中一个硬件为基础的机制将最容易的。他指出在物联网空间中最有可能信任锚的智能手机。 一个图腾也将需要帮助确定该项目的信任,并确保一台机器或网络与实际的物联网设备,没有被修改过的任何方式或是不是一个软件模拟器。这将是固有的,难以从设备中提取,在设备上进行的认证过程。 然而,将分散的安全策略是在冲突与商业景观环境,企业都集中在巩固他们的IT环境和集中管理? 马特市成立网络安全战略副总裁,承认这两个对立的观点却指出,组织可以分散数据。 他强调了云服务提供商可能发挥的潜在作用,支持这种方法,特别是随着越来越多的企业外包他们的基础设施到这些云平台。这将更有利于采取分散的安全策略对云模型比内部部署数据中心,在那里组织寻求巩固他们的资源,市议员告诉ZDNet在黑帽亚洲会议期间。 他还称赞Zovi叫贬值网络攻击的成功,所以黑客会感觉更倾向于开发利用以来,他们的努力将大于收益。 Zovi所指出,例如,有未打补丁的Android设备主要是由于修补文化生态系统的数百万,制造商往往是高度散发或缓慢释放的更新和一些用户不愿意升级他们的设备的更新可能不如老款。 未打补丁的设备数高引发Android用户的一个世界末日的预言当Stagefright漏洞的出现,但他指出,广泛的Android生态系统的开发利用繁琐和昂贵的。 为了成功,推出Stagefright例如,需要为每个Android变体裁缝黑客攻击。”他说,这需要在黑客的一部分投入精力。 他补充说,潜在的攻击是进一步的限制,因为谷歌游戏商店将扫描设备上的应用程序,以识别和删除恶意软件以及应用程序之前,这些都是从应用程序商店下载。 Zovi还建议密码和PIN的废除这些不再被证明是有效的,应与双因素认证(2FA)取代。他指出,科技公司如雅虎已经允许他们的用户使用他们的用户名和2FA取代密码。雅虎用户登录到他们的帐户从他们的桌面上也会收到他们的移动设备的通知,以确认他们是否试图访问他们的帐户。 “强你弱,再加上你知道的东西,是未来,”他说,引用最近的一条来自他的同事托尼阿杰里。 市议员表示同意:“你有什么[如智能手机为2FA设备]更重要的是比你所知道的[如引脚和密码],[但]目前反而是实践。恐龙的观点是,我们应该充分利用我们所拥有的更强烈比我们所知道的。” 问到亚洲面临的安全挑战组织今天,他指出,需要身份的“盲点”,这已经成为困难,特别是在这一地区的移动,云,和物联网的采用更高。(转载:www.idcew.com) |
|
|