专访：思科安全掌门人侃物联网

Chris Young负责很多事情，其中之一是负责领导思科的安全挑战。在上周的澳大利亚思科现场活动（Cisco Live! Australia）上，Vulture South网站记者（以下简称“记”）跟Young聊到物联网安全。

记：思科估计物联网价值19万亿美元。我们该如何不让贼人染手这个19万亿美元的聚宝盆？

Young：迄今为止最重要的是要知道，我们看到的大多数行为——大部分互联网的风险和挑战反映了社会的风险和挑战。归根结底，我想到网络攻击和网络安全问题时，我想到的是人们在干什么？

他们偷钱，他们偷信息，他们或者试图破坏别人的运作。这些都是我们在现实世界中看到的种种问题，只是放大了，规模更大，其方式是我们在现实世界里无法预计的。但归根结底，所有的动机都是关于人的。

所以，完全可以合理地预期，既然存在金融利益，犯罪分子就会试图利用一切机会使得自己获利。

我们在见证物联网演变中，这些是会发生的。

记：Canonical的Mark Shuttleworth[近日]在文章中提到，专有固件是一个无法解决的问题……不管写固件的人写得怎么无影无踪，烧到硅芯片里，塞在家庭路由器里，再把路由器交给人用。

到最后都是处决于攻击者的决心，处决于是不是有人决定要想一想“我来看看这个设备是不是嵌入了出厂密码”，他们最后会找到密码的。

假如我们说“把增值放在离固件以外一点点的地方，让固件具有可见的、开放的API接口句柄，不要再相信固件是增值的基础”，是不是可行？

Young：在安全性上，最重要的一点是，任何产品总是会是漏洞存在——安全性存在很多的问题，犯罪分子打主意的地方是他们认为能获得利益的地方。我不太注重堆栈里任何给定元素的漏洞，你大可以以硬件，软件等等为例子。

产品中的一些漏洞受到安全攻击，一个好的例子是，把产品的一些东西拿来测试。

我主要是想说，背景因素在考虑安全模型时是非常重要。如果我们顺着背景这条思路想，那我们也必须顺着价值的思路想，我们要明白我们需要保护什么。这是非常重要的。

大多数行业现在都有一种趋势，我们更趋向于用到基于软件的模式，软件的价值更大些。硬件仍然重要，由于性能和可扩展性的原因。但我真的希望我们能达到合适的安全水平，无论是在消费电子设备方面或是其他产品方面，我们要考虑攻击可能在哪里发生，做好减轻攻击的准备，

Do we need updates?  我们需要更新吗？

记：我们看到，一些预期会在物联网模式下盛行的设备都是些小的设备，这些设备也不是特别厉害。很多东西还没有造出来。现在是在产品出现以前做架构的事：如果我们看到一个电池可以持续两年的传感器，用RPL（远程启动服务Remote Initial Program Load）完成的功能非常有限——在这种情况下说“我们在设备上只需要微微的一点运作能力”是不是比较比较理性？大家都想要更新能力，但是这一块的价值点不大。

能不能说“阻止别人劫持设备的最佳方法”是将其冻结。如果我们需要再改变这个设备——跑到外面放一个新的设备岂不是更合理一些。这样做从安全角度来说岂不是也更合理一些？有道是“如果我们可以把软件送到那些东西上，别人也可以”。

Young：我经常跟客户是这么说。背景不一样——必须根据业务背景优化安全模型，而且运行的环境也不一样。

如果你的一个装置是在离石油平台100英里的海上，那答案是肯定的，你需要具有远程管理和更新的能力，因为你不能亲自跑去更换一些东西。但是如果你在数据中心有一个虚拟机，或许你想每天晚上都要灭掉所有的东西，第二天早晨用一个“黄金镜像”启动，这时你真的确定机器没有发生什么事。

在这两个不同的环境中，工作背景对安全模型所需的和不必要的东西是非常明确的的。

取决于背景——要看实例类型是什么。你谈到非常小的设备。对于小消费、可穿戴技术，如果一个设备出现泄密风险，可能最好的处理方法是像处理泄密信用卡号码一样处理处理。

银行一旦发现你的信用卡有泄密风险，他们怎么做？他们给你寄一个新的信用卡。

The Internet of i-Things    i-物联网

记：智能手表很酷，所以有人买。智能手表会连到智能手机上，这是谷歌希望的模式，三星希望的模式，苹果希望的模式，等等。

这一行会不会出现一个真正的大反弹，比如在半年后，一些功用没有取得平衡的设备出现一大堆的漏洞。我的健康记录整个就是一个玩具，在保加利亚冒出来，大部分的使用场合是被别人夸：“哇，好酷的玩具”。但这是一个没什么功用的东西，却有太多的漏洞，对吧？

Young：所以我想，我个人认为用户必须为自己的利益负责。安全仍然是每个人自己的责任，无论你在谈人身安全、家庭安全和业务安全时都是这样——个人的作用仍然存在。

不可以假设所有的安全顾虑也可以外包。有个很好的例子，我在自己的家里花了很多时间为刚才你讲的那些东西操心——存在有什么弱点之类的，有人来我家做事时，我要考虑不同的人要用不同的警报代码。这些都是要考虑的重要因素。

归根结底，有关安全的意识是每个个体的责任。而且还不仅仅是这些。比如你家孩子，你养他就要教他们要对谁心存戒备。“不要和陌生人说话”，“学校出去野外活动时，要拉着班里别的同学的手，这样就不会走散了”。

作为人类，我们在生活中很早就开始学习这些规则。我们没有理由不把这些应用到一个连接设备和关乎信息的世界里。

我们必须这样做，这是不可避免的。我们不能认为这个技术世界只是技术型的世界，而且我们不是每天都能看到，我们就可以对这个背景下的安全性不负责。

记：我这有一个非常说明问题的简单例子，或者至少是很接近的。有一个太阳能设备供应商，在这一行里各个方面都算得上是响当当的，[但]他们的每一件设备都附带着一个一成不变的出厂默认密码——哈，我们永远不能把这样的设备连到互联网上吧，对不？

Young：在这样的世界里，消费者要么是有权选择不使用这样的产品，要么就要忍受与之而来的问题。

这可以追溯到我的观点，每家公司都是家技术公司，每家公司都是家保安公司。这样说吧，我在思科负责安全业务，我的纵向业务是安全。我们销售安全产品，帮助客户解决安全问题。

但我也负责横向安全业务，所以我有一个团队的人，与其他团队合作——数据中心、企业网络、电信运营商网络——确保我们在发展产品时遵循一些基本安全成规。

思科开启和发展安全工作周期是这样的。我们培训人、安全忍者，我们颁发资格证书，我们教开发商怎么打造具备基本安全原则的软件和硬件产品，譬如，不要用死板密码。

这些东西是每家公司都必须要做的，尤其是在他们开始考虑要把自己的用户和设备连接到一个更广泛的互联网生态系统时。

每个人都必须遵循安全开发生命周期。每个人都需要基本的、核心的安全。标识在这一切中很重要——这种要求对任何厂商、任何产品来说都不过分。

Beyond the MAC addressMAC地址以外的事

记：我们来看看标识这一部分。从概念上讲，你觉得设备标识会怎么演变？目前，我们具有的最接近的东西也真的就是MAC地址。

Young：大致是对的吧。

记：MAC地址可能也是可以改的……不过已经是很接近了。我们既然说“我们要把设备和我们所知道的设备做的其他事情以及我们所知道有关设备应该做的事关联起来”，我们就可以说“443端口的设备不应该呼叫保加利亚”或诸如此类的？

我们该如何将目前的设备标识进一步扩展成一个安全应用标识呢？

Young：这一点很重要。可以这样思考：我的名字是Chris Young，但我的标识我的身份比我的名字多太多了。我的身份中有我为之工作的公司，我合作工作的人，我去的地方，我做的事情——所有这一切构成了我的身份我的标识。

设备的标识和身份意义更大些，为什么我们谈到设备时认为设备的标识只需要一个名字就够了呢？

即便是在有一个唯一的标识符时——比如社会安全号码——标识符也只是身份的一个方面。

对于人类，我们已经到了用其他各式各样的属性来描述一个人的身份名称的地步。对一台机器还没到这个地步——我们只是把一台机器当做一个MAC地址或是IP地址。

随着机器的连接变得更紧密以及这些机器运作的背景变得更重要，我们必须做的是要用其他的元素来描述机器的身份，以决定机器可以干什么不可以干什么。

可能是这样的：“这台机器，有一个图片在里面，它属于这个组。他的正常行为是这样这样的，所以，如果有一天它的行为成了另外一个样，那就是说出问题了。“

记：如果我们谈论的是钉在电线杆上的传感器，它大致不应该在1小时内发出40,000封电子邮件。

Young：是的。想想看，现如今我们用到这些规则。信用卡公司为你建一个身份概况，如果发生的交易和身份概况不符，他们怎么做？他们阻止交易然后说“给我打电话”。

“你是在这个加油站吗？”没有道理同样的方法不能用到机器上，特别是在机器的行为可能导致数据的破坏或其他恶意行为时。

Refrigerator permissions 冰箱权限

记：随着披露资料的日趋细致，这一行如何变得更好呢？比如我在手机里下一个应用程序，我可能会收到3个咨询类的信息说：“内存、网络和功率”，而不是关闭这几条的选项。

Young：对于很多应用程序，你可以做决定……

记：但是，我们进一步用在在冰箱或洗衣机上时……

Young：就会变得太复杂。这就是为什么不能确切地固定下来，不能依靠一个个体来做这些决定。你需要一个行为的配置文件，行为和背景要考虑进去。

然后，到了某样东西跳出了容限后，跳出了正确的容限度概况后，就要采取纠正措施。

我认为这是处理这个问题的唯一方法，如果在这个世界里，要做所有这些“冰箱要做什么，洗衣机要做什么，什么跟什么可以交流”的决定，你永远不能……这是不可能的。即便是家里的排列组合已经太复杂，我们甚至还没有开始。

我们只连接了500亿个设备的百分之一。

记：很多上行数据收集商用的都是Facebook的模式——不买产品，因此用户就是产品。在很多情况下，好像发生的事情也就是“用一些灯泡日记填充一个巨大的数据中心”。

这些数据采集商，他们究竟希望达到一个什么样的价值模式？

Young：这个难一点。对我来说有点难，没法说……

记：来吧，推测一下！

Young：……能源使用模式，用来得到能量交易权方面的信息，何时提供能源。只要知道一点电网的东西，就可以赚大钱或是节省大把的钱，比决定如何时交付能量。

半夜时消耗的电要便宜得多。还有同样的实例，数据一开始时看上去似乎价值小一些，我可以看到原因是什么。

但也有安全隐患，整个链里从上往下都有。设备的安全性、数据传输安全、数据的标识和背景、人员的来去——这些东西在考虑要收集什么样的信息时都是与安全考虑关系很大的。

记：提一个不是真的只针对思科的问题：做大数据的东西真的很容易，全局也看得很清楚，但还是得到一个错误的答案。在重要关头要从数据里得到答案，我们是不是遥遥地有点希望得到正确答案了，抑或是我们仍然还待在珠穆朗玛峰脚下的大本营站里？

Young：在我职业生涯里，我发现正确的答案常常是正确问题的函数，正确的问题是过程，正确的答案是输出。因此——大数据今天面临的挑战是，大数据已经成了人们重点关注的潮语。

但是，如果你做过统计研究，你就会知道，如果你不提出正确的问题，你就得不到正确的答案。