物聯網是把雙刃劍,一方面在簡化企業業務流程方面有很大的潛力,并給企業提供了與客戶互動的有效方式,但另一方面也給網絡犯罪和黑客提供了便利。
歐洲知名的IT研究公司Quocirca于2015年和2016年分別發布了相關報告,研究了物聯網所帶來的機會和威脅的相互影響,并提出了如何保護你所在組織中物聯網的安全。物聯網對于不同企業有著不同的意義,所以并不存在一個完美的安全方案,它涉及到所有已知部署的設備,比如說監控系統,也有一些在線的舊系統設備、員工帶到工作場所的消費類設備等。
提升企業物聯網安全,需要精心設計的應用、改造現有的IT安全方案以及一些應對多樣化威脅的綜合性方案。
物聯網安全威脅
在Quocirca研究者看來,物聯網領域主要存在四方面安全威脅:
(1)數據保護。很多設備收集的是敏感數據,不論是從商業角度,還是從管控角度,數據的傳輸、存儲和處理都應該在安全情況下進行。
(2)攻擊界面擴大化。物聯網時代會有更多的設備在網上,這樣IT基礎設施會進一步擴大,攻擊者會試探著去破解。與用戶的終端不同,很多物聯網設備需要永久在線和實時連接,這一特征使得它們更容易成為攻擊的目標。
(3)對物聯網運行過程的攻擊。那些想干擾一個特定企業活動的行為,會讓更多基礎設施、設備和應用成為攻擊目標,通過DoS攻擊或通過危及、破壞個人設備。
(4)僵尸網絡。未得到有效保護的物聯網設備可能會招致僵尸網絡攻擊,大大降低企業的效率,長期如此將會導致企業聲譽的損失。
所有這些威脅在一定程度上依賴于物聯網設備的潛在漏洞,因此在部署和管理物聯網設備時應該有安全的意識,精心設計,大量的工作應該列為高優先級。
設備數量、差異化和標識
Quocirca在其2016年的報告中顯示,平均每一家歐洲企業希望在未來18個月中能夠使用、管理7000個物聯網設備。這一數據對于小企業來說可能有些遙不可及,但相對于其他機構的預計,這一數字仍然有些保守。對大量設備的管理應該是自動化進行的,而且也需要在設備自身上完成。
那些需要通過固件升級才能成為物聯網設備的老舊設備更加脆弱,因為它們可能在設計時并沒有線上安全的意識。由于新設備往往只有有限的存儲、計算能力和功耗,而且需要運行特定的物聯網操作系統,如TinyOS、Contiki、Nano-RK以及RIOT等,因此新的物聯網設備實際上也存在一些安全問題。
很多類似的操作系統是開源的,制造商可以對其進行重新改造,從而形成多樣化的物聯網操作系統(當然,并非所有系統都是開源的,微軟已經發布了支持物聯網設備的操作系統Windows 10)。這樣,最終就形成數百個潛在設備/操作系統的組合。
這樣的情形,對那些開發敏捷性嵌入式設備安全軟件廠商來說是一個挑戰。而采用Agentless方式的設備安全則更實用,很多時候用來管理員工自有設備以及訪客的終端節點,這些設備經過許可會不斷地接入企業網絡中。
然而,企業很有必要不斷識別這些設備并保證它們的標識是一致的。蓄意破壞物聯網設備部署的一種方式是將可信設備替換成“流氓”設備,現有的技術可以幫助避免這一問題。SSL/TLS加密技術不僅能保證設備的數據傳輸是安全的,還能確認設備標識。
這意味著隨著設備的快速增長,會有更多的加密認證,也意味著不斷升級的認證管理能力。物聯網安全領域不斷出現新的加密供應商,包括賽門鐵克、金雅拓、泰雷茲、Entrust Datacard、Vormetric 以及Venafi等。
其他安全的方案在不斷的研發,用于物聯網設備的認證。第三方注冊機構變得越來越流行,它們適用于對設備及其期望位置和功能的識別,諸如Neustar這樣的DNS服務供應商會列出已知設備,也有像Xively這樣的專業數據庫提供服務。
對一個設備自身宣稱的信息做到精準掌握非常重要,但實際上物聯網安全需要一個更高級別的方法,要求單一的安全措施能夠對大量設備起作用。
精心設計的物聯網安全
Quocirca的參考架構為物聯網安全設計一個“輪軸-輻條”式的方法,當然,這一方法依賴經過反復試驗過的網絡安全技術。Quocirca認為物聯網的部署由一系列集中器或網關來管理(類似于輪轂或輪軸),并和各種物聯網設備(類似于輻條)形成互操作,整個過程通過網絡地址轉換協議(NATs)在封閉網絡中完成。這樣的話,網絡配置、管理、擴容和安全變得相對簡單一些。
很多物聯網網關是為特定目的而部署的,或者是對現有設備的改造,如網絡路由器、機頂盒、智能手機等等。這些網關控制著設備之間的通信,也需要獨一無二的IP地址,不過,在其范圍之內且只能和一個網關互動的終端設備則不需要。
不可忽視的網關
當單個終端設備不具備直接的IP地址時,物聯網的安全就聚焦在網關上了,而不是設備本身。在物聯網網關上設置安全機制,有兩方面需要著重考慮的:
(1)由于各個設備持續的能見度是由網關提供的,這就需要包含一個實時的評估機制,當那些此前未知的設備通過網關接入網絡時,該評估機制能夠識別,就像對其他永久連接設備一樣。
(2)根據設備的分類,網關需要具備管理設備采用自動化、已設定行為的能力。這包括控制設備如何連接至網絡(如僅限于連接至某一子網)、對可以與設備互動資源的限制以及將設備活動計入日志等。
目前市場上已有不少類似網關的產品。首先,這些產品來自于MultiTech、Eurotech、研華和戴爾等公司的智能網關產品。開源軟件廠商紅帽指出它們的中間件經常被改造來適用于物聯網網關,一些必要的能力則在云端構建,比如適用微軟Azure物聯網套件、AWS或GE的Predix。
一些網絡安全技術正在被改造用于物聯網,很多是用于網關的,如ForeScout、思科、惠普、Pulse Secure和Trustwave等公司的網絡訪問控制(NAC)產品。對物聯網部署攻擊最有效的方式是使用DoS攻擊,網關就成為最典型的攻擊目標。隨著各類企業組織越來越依賴于物聯網,他們需要確保有效的DoS保護。
其他安全需求
就像其他IT系統一樣,安全風險可以在物聯網設備和軟件部署前后,通過對漏洞掃描來識別。這一過程包括對設備自身的掃描,更為重要的是對網關的掃描,用處理現有IT節點的相同流程對物聯網進行處理是容易實現的。
這一過程可以由企業已經運行的嚴格的軟件更新流程來支持。一個問題是,消費品售出后會在企業網絡上消失,制造商需要更多去關注其物聯網使能設備如何保持安全性,這也意味著制造商需要繼續了解其產品如何連接至網絡中。
所有企業都承認自己會受到物聯網安全方面風險的影響。安全必須在部署新的物聯網設備應用之前就提上日程,企業也應該在非預期性的臨時風險、非正常和不安全的設備接入前做出計劃安排。沒有什么創新是無風險的,但圍繞著物聯網的風險可以被降至一定水平之下,從而使企業有信心去開拓物聯網所帶來的機遇。
京公網安備 11010502049343號