智能锁并不安全

如下是新近发生的一起行业安全事件。

一家高科技公司的指纹安全锁可以被智能手机用户秒开。

一名英国的安全专家 Andrew Tierney 通过博客公开了他通过45分钟,研究出轻松解锁Tapplock方法的消息。Tapplock自称是“世界上首款智能指纹锁”,该公司确认了这个安全漏洞,并称其准备发布一项“重要的安全补丁”。

据称,不需要什么技术或知识,任何拥有智能手机的用户,都可以秒开任何一部Tapplock。问题是该APP没有采取任何保护其广播的数据的安全措施。其“主要缺陷”是设计中的问题,设备的解锁键很容易被发现,因为它是由锁的蓝牙低能量ID广播而生成的。

另外,安全锁可以通过智能手机进行管理,因此也可以被远程打开,让其他可有权限的程序或人员获取受其保护的内容。

安全专家给了高科技公司足够的时间,以便其纠正这一安全问题,然后才公开了这一发现。安全专家也敦促智能锁公司向客户发出警告,以便及时更新APP,修复安全漏洞。

这起事件之所以能够发生,原因并不意外。

粗心大意,不仔细,自由散漫,缺乏对安全威胁的敏感度。

为什么这么说呢?

高科技公司制造指纹安全锁,从名字上看,似乎是可以提升安全性的,但是旨在保障安全的设备本身存在严重的能被轻易越过的安全漏洞,这不是好笑么?为什么其他安全人员都能在45分钟内想到破解方法,而科技公司里大把人,很长时间却没有认识到呢?他们没有足够的发现安全问题的天赋?没有这么简单,别人一指出问题,他们就理解了,说明他们并不笨,而是他们不够尽心,不够尽职尽责!

从这起事件中,我们能得到什么安全教训呢?

及时修复安全漏洞(弱点),降低被他人恶意攻击和利用的机会。

看到这则新闻,国内安全专家几乎都想到了“乌云”平台。昆明亭长朗然科技有限公司网络安全研究员董志军对“乌云”平台被关闭表示遗憾,同时也表示:纯民间的漏洞平台控管不够,对于国家安全是一项威胁,这是不争的事实。重点在于很多安全弱点需要被及时发现,并被厂商及时修复。官办的漏洞库往往不会出于对民间草根黑客们开放,而安全专家们也出于对自身的保护,不愿向官方提供自己的发现。这就让很多被国内安全人员们(及黑客们)探测出来的系统漏洞不能被及时通报、修复和公开,而被一波一波地私下利用。

最后,让我向您分享一些与此文相关的安全入门知识。

在万物互联的时代,各种联网小玩艺儿越来越多,中国创制的ioT设备安全问题更是不容忽视。因为总体来说,比起英国来讲,我国工业化和信息化起步较晚,国民普遍的安全意识更为落后,中国设计中国创造的安全性令人担忧。而提升中国设计和创造的安全性,并不仅仅是培训一些设计研发人员就可以搞定的,这是一项关系到全民安全素质的工程,需要广泛的针对全员的安全意识宣导。

昆明亭长朗然科技有限公司专注于全民信息安全意识素养的提升,欢迎您联系我们洽谈业务合作。

昆明亭长朗然科技有限公司

电话:0871-67122372

手机/微信:18206751343

邮箱:info@securemymind.com

QQ:1767022898

安全设计与安全理念

安全设计(Security by Design),又称为设计安全,是一种软件工程理念,强调在软件开发的设计阶段就主动考虑安全问题,并将安全需求融入到系统的架构和设计之中。

安全设计的目标是构建天生安全的系统,能够抵御各种已知和未知的安全威胁。通过在设计阶段就考虑安全,可以有效地降低后期安全漏洞的风险,并减少安全修复的成本。

安全设计的核心在于遵循以下原则:

  1. 识别安全需求:在开发初期,就需要明确系统的安全需求,包括需要保护的资产、面临的威胁和可接受的安全风险水平。
  2. 采用安全的开发实践:使用安全的编码标准和最佳实践,例如输入验证、输出编码和错误处理。
  3. 使用经过验证的安全组件:尽量使用经过验证和审核的安全组件,例如库、框架和API。
  4. 实施防御性设计:采用多层次的安全控制措施,例如访问控制、数据加密和日志记录,以抵御各种攻击。
  5. 进行持续的威胁建模和风险评估:在整个开发过程中,不断进行威胁建模和风险评估,以识别和解决潜在的安全问题。

安全设计的优势包括:

  • 提高系统的安全性和可靠性:通过主动考虑安全问题,可以有效地降低安全漏洞的风险,并提高系统的安全性和可靠性。
  • 降低安全修复的成本:在设计阶段解决安全问题,比在后期发现和修复漏洞要容易得多,也更省成本。
  • 缩短上市时间:安全设计可以帮助企业更快地将产品推向市场,因为不需要在后期花费大量时间和精力来修复安全漏洞。

安全设计可以应用于各种软件系统,包括:Web应用程序、移动应用程序、桌面应用程序、嵌入式系统、云计算系统等等。

安全设计的最佳实践包括并不限于:使用威胁建模来识别潜在的威胁和漏洞、采用安全的编码标准和最佳实践、对代码进行静态和动态分析、进行渗透测试以发现漏洞、实施漏洞管理流程、为用户提供安全意识培训等等。

其中,威胁建模是一种系统性的方法,用于识别和评估潜在的威胁和漏洞。它可以帮助组织了解其系统面临的风险,并制定有效的安全控制措施来降低这些风险。

威胁建模的过程通常包括以下步骤:

  1. 定义目标和范围:确定要建模的系统的目标和范围。这将有助于确定需要考虑哪些资产和威胁。
  2. 识别资产:识别要保护的系统资产,例如数据、应用程序、硬件和网络。
  3. 创建系统架构图:创建一个显示系统组件及其相互关系的图。这将有助于理解系统的攻击面。
  4. 识别威胁:针对每个资产,识别可能导致安全漏洞的潜在威胁。这可以采用头脑风暴、使用威胁建模工具或查看已知的威胁列表等方式进行。
  5. 分析威胁:评估每个威胁的可能性和影响。这将有助于确定需要优先解决哪些威胁。
  6. 识别漏洞:针对每个威胁,识别系统中可能被利用的漏洞。这可以采用漏洞扫描或渗透测试等方式进行。
  7. 评估漏洞:评估每个漏洞的严重程度和易于利用程度。这将有助于确定需要优先修复哪些漏洞。
  8. 制定缓解措施:针对每个威胁和漏洞,制定缓解措施。这可以包括技术控制措施、管理控制措施和运营控制措施。
  9. 记录和维护威胁模型:记录威胁模型并定期进行维护。这将有助于确保模型保持最新状态并反映系统的更改。

威胁建模可以为组织提供许多好处,包括:

  • 提高对安全风险的认识:威胁建模可以帮助组织了解其系统面临的风险,并确定需要优先解决哪些风险。
  • 改进安全决策:威胁建模可以为组织提供有关如何分配安全资源和实施安全控制措施的信息。
  • 降低安全漏洞的风险:威胁建模可以帮助组织在漏洞被利用之前识别和修复漏洞。
  • 降低安全事件的成本:威胁建模可以帮助组织减少与安全事件相关的成本。
  • 提高合规性:威胁建模可以帮助组织满足安全法规和标准的要求。

此外,为用户提供安全意识培训对于提高组织的安全水平至关重要。有效的安全意识培训计划应涵盖以下内容:

  • 针对用户的常见威胁和攻击:培训应涵盖用户可能遇到的常见威胁和攻击,例如网络钓鱼、恶意软件、社会工程和密码攻击。
  • 安全的最佳实践:培训应教给用户有关如何保护自己和组织的安全方面的最佳实践,例如创建强密码、使用双重身份验证、保持软件更新以及注意可疑活动。
  • 报告安全事件的程序:培训应告知用户如何报告安全事件,例如可疑电子邮件、网络钓鱼网站或恶意软件攻击。

以下是一些提供安全意识培训的有效方法:

  • 在线培训课程:在线培训课程是一种灵活且可扩展的方式来为大量用户提供安全意识培训。
  • 面对面培训:面对面培训可以提供更具互动性的学习体验,并允许就特定问题进行提问。
  • 电子邮件意识增强活动:电子邮件意识增强活动可以帮助提高用户识别网络钓鱼和其他恶意电子邮件的意识。
  • 模拟网络钓鱼和社会工程攻击:模拟攻击可以帮助用户在现实世界中识别和抵御威胁。
  • 安全海报和标语:安全海报和标语可以帮助提高对安全问题的认识并提醒用户采取预防措施。
  • 游戏化学习:游戏化学习是一种利用游戏机制来使学习更有趣和引人入胜的技术。这可以用于创建安全意识培训游戏,使学习者能够在玩乐的同时学习有关安全的重要主题。
  • 微学习:微学习是一种将学习内容分解成小而易于管理的模块的技术。这对于当今快节奏的工作场所特别有用,学习者可能没有时间参加冗长的培训课程。
  • 社会学习:社会学习是一种通过观察和与他人互动来学习的技术。这可以用于创建安全意识在线论坛或社区,学习者可以在其中分享经验并向彼此提问。
  • 安全意识冠军计划:安全意识冠军计划是一项识别和奖励组织中对安全倡导的员工的计划。这可以帮助提高对安全的认识并鼓励员工积极参与安全意识培训。
  • 渗透测试和红队演练:渗透测试和红队演练是一种模拟现实世界攻击以评估组织安全性的方法。这可以帮助识别安全意识培训中可能存在的任何差距。

组织机构可以使用各种适合自己的方法来创建全面且有效的安全意识培训计划。

以下是一些额外的提示,可帮助您创建有效的安全意识培训计划:

  • 针对您的受众进行培训:培训应针对用户的特定需求和技能水平进行定制。
  • 使培训内容保持最新:网络威胁不断发展,因此培训应定期更新以涵盖最新威胁。
  • 使培训内容引人入胜:培训应有趣且引人入胜,以便用户更有可能参与其中。
  • 衡量培训的效果:您应该衡量培训计划的效果,以便您可以根据需要进行改进。

需知:为用户提供安全意识培训是一项持续的努力,对于安全设计的落地来讲,必须得到用户的理解和支持。通过定期培训和提高认识,您可以帮助您的组织抵御不断发展的网络威胁。

总之,安全设计是构建安全可靠软件系统的基础。通过遵循安全设计的原则和最佳实践,企业可以有效地降低安全风险,并提高产品的安全性。其中使用威胁建模以及安全意识对于安全内置的成功至关重要,不容忽视。

在安全意识教育方面,可以使用传统的方式,将电子图片印刷后,用于橱窗、墙报、贴画、展板、册子或期刊等宣传渠道,也可以使用更为环保的方式如桌面壁纸、屏保程序、电子邮件、内网门户、企业微信等等。无论怎么应用,昆明亭长朗然科技有限公司都有大量的电子海报、知识图片和趣味漫画,以供选择使用。

欢迎有兴趣的朋友联系我们,预览我们的产品作品,体验我们的在线系统。

  • 电话:0871-67122372
  • 手机、微信:18206751343
  • 邮件:info@securemymind.com