论坛专区
 

小米“IoT”要搞大事,安全怎么办|访小米 CSO 陈洋

放大字体  缩小字体 发布日期:2017-11-30  来源:雷锋网  浏览次数:25
     小米准备办IoT安全峰会时,雷军对小米人工智能与云平台副总裁崔宝秋说,把这个会议纳入IoT开发者大会吧。
    这埋下了一个伏笔。
    11月28日,在这个会上,雷军和陆奇宣布,小米与百度达成合作,携手共建软硬一体“IoT+AI”生态体系,将小米的智能硬件、大数据、智能设备生态链等,与百度的AI技术、海量数据、信息与服务生态等进行结合,创造更好的用户体验。
    崔宝秋开玩笑说,这是会议规格的下降。
    实际上,有了雷在主会场的站台、小米和百度基于IoT的合作都带来了更大的关注量,并将小米的IoT安全上升到更高的维度。上一合作说明,小米在IoT上要“搞大事”了。此时,小米说IoT安全更在情理之中。
    守住这里,就守住了源头
    IoT安全峰会开场前一小时,小米CSO陈洋的一个张姓好友过来“捧场”,听陈的演讲。
    张先生对雷锋网(公众号:雷锋网)说,做安全的人都会关注黑灰产的发展,而黑灰产最关注的是隐私数据。2015年底,陈洋从新浪跳槽到小米,原因之一是,陈判断,小米将会守住物联网的入口,而背后是极其宝贵的数据。
    陈洋在雷锋网的采访中,肯定了这一说法。
    据小米给出的数据,目前已有8500万个小米及相关物联网设备连入物联网,最高的一个案例是,有个用户拥有140件小米的物联网设备。
    “后来,我们想了想,虽然形势很好,但不太可能(笑),我们分析,可能是一个公司的网管,采购了大量的空气净化器,然后连到了同一个物联网控制端口上。”雷军说到这,现场观众笑了。
    实际上,雷的话不仅是玩笑:小米IoT平台日处理量是400亿次,场景调用2200万次。
    小米“IoT”要搞大事,安全怎么办|访小米CSO陈洋
    IoT攻击不乏实例。去年10月,Mirai编织了150万IoT僵尸网络,今年媒体曝光了大量的摄像头被破解,一言不合在家就被直播的案例。
    设备越多,数据越多。守住这里,就守住了源头。
    被推着往前走的“安全隐私”
    在陈洋看来,小米安全是被推着向前走的,尤其是IoT的突然爆发。
    对于前者,崔宝秋有话要说。
    2012年,崔宝秋刚刚加入小米时,小米安全部门还不够完备。崔宝秋吃了一惊,没有完备安全团队的互联网公司就像在裸奔。而当年2月,雷军已宣布小米要扩军,2012年要招1500人。2012年6月7日,小米手机销量突破300万。
    市场推着小米走,同年6月,小米的安全团队建立。
    几年前,小米进入新加坡和香港时发生了件事,让小米很“狼狈”。
    香港有些用户发现,打开红米手机,什么事还没做,手机先建立了一个TCP/IP连接,而且连到了北京。“这个链接是干什么?传我们的数据去哪里?”质疑的声音冒出来。
    崔宝秋很郁闷,这是一款智能手机,产生这种连接很正常。他想,如果对方拿到的是三星、苹果手机,连接到了韩国和美国,可能不会有所反应,“就因为我们的服务器地点在北京,他就这么敏感”。“这只是新手机激活和服务器的一次连接,什么用户的数据都没有传,也不会收集任何用户数据。”崔说。
    误解可以澄清,但吃了亏,就要长记性。小米在2014年“赶紧组建了小米的隐私委员会,摸爬滚打了一段时间”。
    小米“IoT”要搞大事,安全怎么办|访小米CSO陈洋
    这次事件让崔触动很大,称现在小米将安全和隐私放在首位,并与隐私认证部门合作,打造自己的安全隐私部门。
    在隐私保护的落实上,“吃过亏”的小米采用“隐私优先”的设计:能不收集的数据绝不收集,明确告知用户,征得用户同意,用户可以访问、掌控个人数据,保证数据安全,用严格的隐私数据定义要求自己。同时,引入第三方认证。
小米
    崔说的认证,是MIUI和小米网获得TRUSTe认证,随后与TrustArc(新TRUSTe)合作,推出小米自己的IoT隐私认证体系。
    “用什么,就研究什么”
    对于后者,陈洋感同身受。
    2015年11月,陈洋从新浪跳到小米安全,他感受到物联网设备对安全的冲击,小米的安全团队也因此开始覆盖到IoT设备的安全。
    小米的新产品在立项和要推出市场前,首先要在小米内部的安全部门走一圈。
    陈洋和他的同事要做的就是参与安全需求设计,进行威胁分析,然后开发实现相关的工具包、SDK等,评估产品的攻击面,分析新安全协议,找出大大小小的攻击点。经过一轮内测后,再进行众测。
    “开始是一月一款,然后是两周一款,再后来就是一周一款甚至多款,物联网产品推出的节奏越来越快了。”陈说。
    除了对产品设计研发的安全管控,陈洋等人还要负责对小米帐号的风控,防控IoT的业务风险。
    雷锋网了解到,小米的IoT安全并没有一揽子的解决方案。按照陈洋的说法,小米的IoT安全是“用什么,就研究什么,自然而然地,沉淀下来一些技术积累”。
    比如,通过移动数据网络上传和下载的通讯过程中,可能遭到伪基站攻击,小米为此将SIM卡变为安全芯片,通过双向硬件加密通道,与服务器进行双向安全认证。这种带有安全芯片的SIM卡也将提供给合作伙伴,不用修改任何模具和产线,就可达到EAL4+金融安全等级,增加的成本却很低。
    小米“IoT”要搞大事,安全怎么办|访小米CSO陈洋
    这一方案实际是小米为有合作关系的某头部著名共享单车提供。在陈洋看来,这算与“远亲”合作。他也向雷锋网证实,小米的IoT安全主要聚焦在自家及生态链产品上,并不包括对其他产品的攻防研究,除非“家里也有余粮时,才会对其他家的产品做一些攻防研究”。
    陈洋至今还记得,自己刚进小米时,研究的第一款产品是平衡车。现在,在陈洋自己家中,光一个卧室就有25个设备连接到物联网中,整个家里有52台物联网设备。
    未来会怎样?陈洋不知道。对他而言,IoT安全前沿难预判,取决于未来的IoT设备使用什么技术,比如量子通讯很安全,但没人知道什么时候能够在产品中应用,还是“所用”推动比较实在。
    以小米及相关生态链硬件产品占据的市场份额来看,这一选择似乎合情合理。
 
关键词: 小米 IoT安全峰会
 
 
[ 资讯搜索 ]  [ 加入收藏 ]  [ 告诉好友 ]  [ 打印本文 ]  [ 关闭窗口 ]

 
0条 [查看全部]  相关评论

 
展会
微信公众号
qq群
 
网站首页 | 用户使用指南 | 关于我们 | 联系方式 | 使用协议 | 版权隐私 | 网站地图 | 手机版 | 广告服务 | 工控文库 | 工控视频 | 工控软件

本网站所有文档及文件资料,除特别标明本站原创外,均来自互联网及网友上传,如有涉及版权问题,请联系我们,我们将第一时间处理。
我们保留版权,任何涉嫌侵犯本站版权的行为,本站保留追究其法律责任的权利。

Copyright © 2013-2015 www.gkwo.net  滨州新大新机电科技有限公司 版权所有 鲁ICP备11011731号-4