一直以来,宅客君都有一个困惑:物联网时代下的安全会是神马样子的?
和电脑一样,有个杀毒软件?如手机一般,是个优化App?还是按以往传统路径,厂商全包全揽?
不知道。
宅客君曾在一次采访中请教对IoT推崇之至的红衣教主,不过对方非常罕见的“不谈案例谈趋势”,有些避而不答的味道。
最近,宅客君拜访一家物联网门锁厂商,又唤起了对这个问题的思考。
这家锁厂透露说,他们把传统机械锁的钥匙认证搬到云端,解决了目前租房公司的一个大烦恼——对众多房源钥匙的批量管理。
宅客君立刻有些职业敏感地问道:“你们是如何说服合作伙伴,相信你们的云端是安全的呢?毕竟现在云端攻击也屡见不鲜了。”
对方答曰:“云是未来的大趋势,大家现在只能选择它。”
同时Ta也说了许多自身在安全的一些优化关键词,比如专业、大牛工程师等等。不过总体来说答案并不让人满意,无奈感颇浓。
在最近北京举行的网络安全周上,宅客君终于听到一些有意思的说法。
腾讯安全的陆兆华表示:物联网等新领域,在安全上有说服力应该体现在对抗过,也就是经历攻击而不倒。
成绩永远都是最有说服力的。像Google、Amazon、腾讯、百度,都曾经历过各种攻击,现在这些大多变成大家口口相传的功勋章了。厂商可以自己告知用户/客户,承受了怎样的攻击而安然无恙。
趋势安全的罗海龙的看法偏具体化,他认为大家首先要做好基础安全准则,这点是目前厂商们所缺失的。
我们可以从两个层面来看。一是端到端的加密、多因子认证,在用户端这能很好地保障安全;二是基础设施的加固,大家常见的系统与网络扫描、防DDOS等手段肯定要布上,用以保证云端安全。
结合以上两位的观点,回过头来大家再来聊物联网安全,其实可以总结和推导出一些特质来:
1、IoT下,厂商是安全的责任主体,它需要证明自己可靠,并承担最大责任。
2、IoT安全的机制细则比PC、手机更为庞杂,厂商需要在硬件、连接和云都做足功课。
3、除BAT外,某家单独厂商不太可能做到包揽整个环节的安全,这将促使一些针对它们的第三方服务公司出现。以多因子认证为例,可以有些能提供动态时效密码的解决方案(类似Google 身份验证器App、网银的动态口令卡)、指纹虹膜及声纹的不同认证形式的解决方案等的公司。
4、IoT下,不大会有2C端的第三方安全公司。2B端会有,大多偏向第三点类型的公司。
