網(wǎng)絡(luò)連接將物聯(lián)網(wǎng)產(chǎn)品暴露給新的攻擊媒介。2016年對Dyn域名系統(tǒng)(DNS)服務(wù)器的臭名昭著的分布式拒絕服務(wù)(DDoS)攻擊顯示了攻擊者如何將不安全的物聯(lián)網(wǎng)設(shè)備武器化為物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)。連接的“事物”的網(wǎng)絡(luò)物理特征進(jìn)一步提高了保護(hù)它們的門檻。

 

為什么安全性如此對網(wǎng)絡(luò)物理系統(tǒng)至關(guān)重要?

 

網(wǎng)絡(luò)物理系統(tǒng)(CPS)是指與物理環(huán)境直接交互的任何網(wǎng)絡(luò)連接產(chǎn)品。網(wǎng)絡(luò)物理系統(tǒng)的例子包括：

 

• 連接可穿戴設(shè)備(例如健身監(jiān)視器)

 

• 植入式設(shè)備(例如，心臟起搏器)

 

• 自動駕駛汽車

 

• 工業(yè)機(jī)器人

 

• 燃?xì)廨啓C(jī)

 

與私人或公共網(wǎng)絡(luò)的網(wǎng)絡(luò)連接擴(kuò)大了他們的攻擊面。攻擊者可以遠(yuǎn)程連接并利用CPS中的漏洞，并將其用作造成重大物理損害的工具。2010年，臭名昭著的Stuxnet蠕蟲感染了工業(yè)控制系統(tǒng)并操縱了傳感器反饋到控制器的繼電器，最終損壞了伊朗核電站中984個富鈾離心機(jī)。因此，CPS的安全漏洞不僅僅是數(shù)據(jù)或聲譽(yù)的損失; 它還意味著環(huán)境損害，生命損失，因此涉及道德，法律和道德后果。

 

保護(hù)物聯(lián)網(wǎng)產(chǎn)品的獨(dú)特挑戰(zhàn)

 

設(shè)計(jì)人員可以輕松查明任何傳統(tǒng)獨(dú)立系統(tǒng)與物聯(lián)網(wǎng)產(chǎn)品之間威脅模型的大差異。物聯(lián)網(wǎng)產(chǎn)品總是作為連接生態(tài)系統(tǒng)的一部分運(yùn)行，甚至像智能發(fā)電公用事業(yè)那樣的“系統(tǒng)系統(tǒng)”，這使得他們的安全狀況具有獨(dú)特的挑戰(zhàn)性。

 

除了物聯(lián)網(wǎng)端點(diǎn)中本機(jī)硬件和軟件的固有安全漏洞之外，我們還必須考慮其操作環(huán)境，網(wǎng)絡(luò)連接以及與第三方平臺和系統(tǒng)的互操作性所導(dǎo)致的漏洞。

 

運(yùn)營環(huán)境

 

與傳統(tǒng)PC不同，IoT產(chǎn)品將計(jì)算與特定于域的操作融合在一起。例如，工業(yè)機(jī)器人除了嵌入式計(jì)算和存儲功能之外，還在工業(yè)環(huán)境中執(zhí)行特定于域的功能。

 

物聯(lián)網(wǎng)產(chǎn)品運(yùn)營的環(huán)境會帶來某些獨(dú)特的安全挑戰(zhàn)：

 

• 不同的安全優(yōu)先級：IT安全實(shí)踐側(cè)重于數(shù)據(jù)機(jī)密性，完整性和系統(tǒng)可用性。在運(yùn)營環(huán)境中; 但是，保護(hù)地點(diǎn)，人員和流程優(yōu)先。因此，應(yīng)用于物聯(lián)網(wǎng)的標(biāo)準(zhǔn)IT安全實(shí)踐必須保留，如果不增強(qiáng)其安全性和可靠性要求。

 

• 網(wǎng)絡(luò)安全能力不足：2017年9月，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組(ICS-CERT)標(biāo)志著美國醫(yī)院使用的注射器輸液泵存在多個安全漏洞。其中大部分與使用硬編碼或出廠默認(rèn)安全憑證有關(guān)。用戶和操作人員并不總是網(wǎng)絡(luò)安全專家，因此無法檢測并防范這些缺陷。

 

• 及時修補(bǔ)：提供軟件和固件更新以解決安全漏洞。在工業(yè)環(huán)境中; 但是，定期修補(bǔ)不是常態(tài)。此外，在許多情況下，固件升級可能需要暫時停用IoT產(chǎn)品。

 

• 系統(tǒng)限制：許多物聯(lián)網(wǎng)產(chǎn)品(如傳感器和執(zhí)行器)的內(nèi)存和CPU占用空間都很小，這限制了它們的嵌入式安全功能。

 

網(wǎng)絡(luò)連接

 

連接性使“安全”產(chǎn)品暴露于網(wǎng)絡(luò)入侵的后果。2014年，查理•米勒和克里斯•瓦拉塞克通過利用其軟件缺陷，遠(yuǎn)程將高速公路全速運(yùn)行的聯(lián)網(wǎng)車輛完全停止。要閱讀他們的完整報告，請參閱他們的題為“ 遠(yuǎn)程開發(fā)未改變的乘用車 ”的文章。

 

信息安全設(shè)計(jì)主要依靠使用防火墻和分區(qū)的邊界保護(hù)。在物聯(lián)網(wǎng)產(chǎn)品中越來越多地使用無線電技術(shù)和無線技術(shù)使它們成為遠(yuǎn)程攻擊的簡單目標(biāo)。未加密的數(shù)據(jù)通信也是物聯(lián)網(wǎng)妥協(xié)的主要原因。

 

第三方互操作性

 

任何物聯(lián)網(wǎng)解決方案都涉及多個技術(shù)，配置和協(xié)議的服務(wù)提供商。這導(dǎo)致更復(fù)雜，不均衡的安全合規(guī)性以及攻擊面的增加。基于訂閱的模型增加了對第三方提供商對設(shè)備供應(yīng)，管理和操作的依賴性，從而暴露了新的攻擊媒介。

 

安全物聯(lián)網(wǎng)產(chǎn)品的4層方法

 

物聯(lián)網(wǎng)安全需要超越傳統(tǒng)的網(wǎng)絡(luò)安全措施，以克服這些挑戰(zhàn)。包含邊緣到云工作流的物聯(lián)網(wǎng)安全的全棧方法至關(guān)重要。物聯(lián)網(wǎng)系統(tǒng)設(shè)計(jì)的4層安全模型可以降低獨(dú)特的風(fēng)險。

 

1. 可靠的端點(diǎn)設(shè)計(jì)

 

由于它們與物理環(huán)境的直接交互，非常需要防篡改設(shè)計(jì)。合適的憑證(例如，非默認(rèn)用戶名/密碼或公鑰基礎(chǔ)結(jié)構(gòu)(PKI)證書)可以限制未經(jīng)授權(quán)的設(shè)備訪問和操作。其他一些安全設(shè)計(jì)措施需要考慮：

 

• 基于可信平臺模塊(TPM)的信任根

 

• 初始化和引導(dǎo)過程完整性

 

• 提供安全的固件和軟件更新

 

• 存儲和傳輸中數(shù)據(jù)的完整性

 

選擇安全的實(shí)時操作系統(tǒng)(RTOS)和使用容器化的故障隔離可以在運(yùn)行時保護(hù)端點(diǎn)。

 

2. 安全的網(wǎng)絡(luò)訪問

 

由于物聯(lián)網(wǎng)運(yùn)營的獨(dú)特挑戰(zhàn)，設(shè)計(jì)思維需要設(shè)想并深入分析以下用例場景：

 

• 訪問方法

 

• 產(chǎn)品用法

 

• 數(shù)據(jù)通信

 

• 轉(zhuǎn)角案件

 

這直接導(dǎo)致開發(fā)網(wǎng)絡(luò)連接的威脅模型，并讓我們了解如何：

 

• 保護(hù)訪問端口

 

• 在storge和transport期間加密數(shù)據(jù)

 

• 使用隧道

 

• 保護(hù)協(xié)議

 

• 在網(wǎng)絡(luò)周邊執(zhí)行深度數(shù)據(jù)包檢查

 

無線和RF是物聯(lián)網(wǎng)連接的主要選擇，通常更容易受到攻擊。但是，您可以通過以下方式降低連接風(fēng)險：

 

• 通過訪問和身份控制實(shí)施網(wǎng)絡(luò)訪問憑證

 

• 啟用常見IoT協(xié)議的內(nèi)置安全功能，例如：

 

• 消息隊(duì)列遙測傳輸(MQTT)

 

• 約束應(yīng)用程序協(xié)議(CoAP)

 

• 紫蜂

 

• 傳輸控制協(xié)議/ Internet協(xié)議(TCP / IP)

 

3. 基于合規(guī)性的設(shè)計(jì)

 

盡管合規(guī)性并不等同于安全性，但合規(guī)性設(shè)計(jì)可以最大限度地減少漏洞。與信息安全不同，除了數(shù)據(jù)完整性，隱私和可用性之外，物聯(lián)網(wǎng)安全還涉及安全性，可靠性和彈性。換句話說，如果發(fā)生破壞，系統(tǒng)必須設(shè)計(jì)成小心過渡到穩(wěn)定的故障狀態(tài)，對周圍環(huán)境的影響最小。在全速自動駕駛車輛的情況下，故障應(yīng)該小心地使其停止。這就是為什么除了網(wǎng)絡(luò)安全標(biāo)準(zhǔn) - 聯(lián)邦信息處理標(biāo)準(zhǔn)(FIPS)，ISO 27001，國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)SP 800等之外 - 系統(tǒng)設(shè)計(jì)需要交叉符合行業(yè)特定法規(guī) - 例如，健康保險流通與責(zé)任(HIPAA)，交通部(DOT)。

 

4. 云和應(yīng)用程序安全性

 

基于云的配置，設(shè)備管理以及數(shù)據(jù)和應(yīng)用程序托管是任何物聯(lián)網(wǎng)產(chǎn)品部署的核心。許多物聯(lián)網(wǎng)產(chǎn)品在軟件即服務(wù)(SaaS)上運(yùn)行，其中第三方托管軟件層。雖然系統(tǒng)設(shè)計(jì)人員可能會或可能不會直接控制基于云的服務(wù)中的安全實(shí)施，但仍然必須根據(jù)某些云安全標(biāo)準(zhǔn)和最佳實(shí)踐來構(gòu)建部署，這些標(biāo)準(zhǔn)和最佳實(shí)踐在產(chǎn)品文檔中已明確列舉。

 

結(jié)論

 

互聯(lián)產(chǎn)品是我們行業(yè)的未來。在不斷變化的威脅環(huán)境中，物聯(lián)網(wǎng)的網(wǎng)絡(luò)物理特性增加了安全挑戰(zhàn)。一旦確定了挑戰(zhàn)，本博客中討論的4層方法提供了一種降低風(fēng)險的方法。

 

關(guān)鍵點(diǎn)：

 

• 物聯(lián)網(wǎng)安全不僅僅是數(shù)據(jù)或聲譽(yù)的損失，還意味著環(huán)境損害，生命損失，并涉及道德，法律和道德后果。

 

• 物聯(lián)網(wǎng)產(chǎn)品作為連接生態(tài)系統(tǒng)的一部分運(yùn)行，這使其安全狀況具有獨(dú)特的挑戰(zhàn)性。

 

• 用于減輕威脅的物聯(lián)網(wǎng)系統(tǒng)設(shè)計(jì)的4層安全模型涉及可靠的端點(diǎn)設(shè)計(jì)，安全的網(wǎng)絡(luò)訪問，基于合規(guī)性的設(shè)計(jì)以及云和應(yīng)用程序安全性。