安全监督的安全经_ 小米首席安全官陈洋:AIoT安全新起点 (附PPT)

11.21日召开的第三届美国AIoT安全峰会是MIDC最大的分科会,今年也是一整天的分科会,从侧面展示了美国对安全和隐私的重视度。

我们希望对外出口完整的IoT安全技术体系,与全行业安全隐私研究员、技术开发人员、行业合作伙伴深入交流,建立国内外良好的安全隐私环境。

从今天开始,各安全中心将不断揭露2019 IOT安全峰会的亮点,敬请关注

首先介绍美国首席安全官陈洋( cy07)——AIoT安全的新起点。

陈洋-AIoT安全新出发点

安全监督的安全经

让我们回顾一下名字是如何保护IoT安全的。 所有IoT产品在上线过程中必须经过规范的安全过程。 包括需求的设计阶段、开发阶段、测试阶段在内,只有在一系列安全要求和测试合格后才能上网。 然后,测试时经过严格的安全测试,允许测试合格后才进入我们的内部测试,公司内一批老用户测试产品,然后发布,最后可以上市。

如何保障许多IoT产品的安全? IoT平台是一个开放平台,有许多生态链公司和合作伙伴产品。 如何保障许多产品的安全? 我们通过对协议的预先研究,将安全协议封装在协议中,以安全的MI+安全认证的方式提供给许多合作伙伴,他们只需10元的成本和模块就可以把产品变成智能产品,在这个模块中已经整合了我们的安全通信、安全的各种能力 安全在这个协定、模块中帮助了他。

此外还有供应链的安全。 因为我们有很多上下游的零件和第三方的SDK等。 如何保障这些供应链的安全? 所有产品、所有第三方SDK和第三方服务都必须严格控制安全评估等流程。 此外,还有物流环节、工厂环节,为了更好地保护用户的数据,防止物流环节泄漏,我们还制作了中间隐私号的产品,用于大米的大家的电力。 什么是中间隐私号码?这些仓库的物流手机号码是暂时的手机号码,这是世界上第一家家电制造商使用这样的产品。 在物流领域使用这个中间隐私号码有很多困难,我们现在克服这些困难可以在大家的电气领域使用,将来会向更多的方向发展。

最后,在隐私法规遵从性方面,去年我们在全体安全隐私委员会的指导下完成了一系列的GDPR工作,动员公司成百上千人召开了几百次会议,做了很多关于GDPR法规遵从性和数据保护的工作。

小名在2013年开设了自己的SRC,从开设当初就开始使用现金奖金。 从今年开始,我们给了更多世界性的白帽子安全问题和建议。

在17年间,最高提出了50万的奖励,18年提高到了100万。 现在,每人进行9的100万人的测定。 感兴趣的朋友可以关注。 希望帮助我们共同提高和保护用户安全!

目前,IoT平台已连接了2200多种产品,合作伙伴超过1300家。 截至今年上半年的数据:网络设备1亿6000万人,拥有5个以上设备的用户已经超过300万人。 我们必须把危险停在用户看不见的地方。 复杂的事情都是我们自己做,安全、方便、安心地使用用户,是我们所追求的安全。

对用户来说,用户需要的是安全感,我们必须保护用户不受任何侵害。 另一个重要的是用户数据和安全系统的公开和透明度。 公开透明,用户只知道你是如何保护他的数据的,他就有安全感。

对于企业来说,他们的需求也要求简单易行、安全可靠、任何方案、工具以及他可以轻松使用、快速部署和实施。

对于行业,我们上下游的合作很多,规范标准不同的话,安全就达不到同样的水平线。 需要可监测的安全性和统一的行业规范和标准。

从这一点来看,我们今年这个时期工作变了。 这三个关键词,一个是透明度,二个是平台化,三个是专业化。 以前,我们在公司内部建立了安全的产品、安全的平台和解决方案,并花费了很多工作向生态链合作伙伴出口。 今后会更加开放、透明,在用户行业的监督下,让用户和各合作伙伴更加放心,将我们的解决方案出口到行业。

首先谈透明度。 举个例子,今天你拿到的徽章来自消磁、粉碎的小米云退役服务器。 如果微型云服务器使用的硬盘需要退役,请使用全链路进行跟踪和销毁,以确保存储的加密数据无法通过任何方式恢复。 这代表了对用户数据保护的态度。

以前我们内部有一套安全的标准,目前符合行业各项标准,整理14个领域,形成了65个系统制度,119个能力,14个技术验证。 它还获得大量认证,是国际权威机构,包括BSI、CNAS、IAF、ANAB等。 我们现在按照国际上最严格的安全标准进行内部安全体系的建设和整理,委托这些认证评估机构进行评估和认证。

另一个是安全性和隐私方面的白皮书,适用于用户。 如何保障安全? 怎么办? 透明性用白皮书的形式来表示。

二是平台化,如前所述,都要人工解决是不现实的,我们必须有强大的智能自动化安全平台。

目前,我们拥有一个智能的业务控制平台来实时发现和阻止风险。 也有内部的安全代理和HIDS、MiWAF等,保证IoT产品安全的MiEye。

MiEye是我们最新开发的自动化安全和隐私检查平台。 我们的IoT产品部署此平台可以自动执行安全评估,并自动执行隐私评估是否符合法规遵从性。 还可以模拟不同国家的地区,按照当地法律、法规的要求进行评价,进行自动化调整,进行大规模分散的无中断检查。

为什么不间断是必要的? 由于IoT设备非常特殊,可能存在低频操作,某些设备可能每天早晨上传日志,这里可能存在潜在的风险,我们能够在7×24小时的不中断测量中发现低频风险,在开始时发现并处理。 左侧是相应的解决方案模块,底部是APK的动态和静态检测、固件的动态和静态检测、中间是蓝牙、无线电、蜂窝电话的动态检测引擎,它们全部基于云和多模式节点云。 这是一个自动检测平台,在随后的议题上详细介绍。

最后专业化,自动化还不够。 产品方面做的再安全,即使后台服务器和办公网络不安全也是不够的。 专家必须不断闭环深度防御系统。

我们设立了一个非常强大的企业内部蓝军,以模拟黑客的方式对企业的所有产品和系统进行了渗透测试,确认了深度防御系统的哪里有潜在的弱点不断提高,不存在短板。 我们还设立了北京的AIoT安全实验室和武汉的移动安全实验室两个实验室,实验室成员对所有产品进行评价,对安全技术进行预研究,将各种预研究的技术出口给产品。

小米希望所有的同行、安全研究者、实验室和白帽子携手打造智能安全的新时代。

http://bjb1. FDS.API.Xiaomi.com/src/gift /名称%20AIoT%20安全新出发点%20-%20陈洋. pdf

大家都在看

相关专题