對自動化物聯(lián)網(wǎng)安全威脅/風(fēng)險分析和合規(guī)性的研究

風(fēng)險管理是一項永無止境的任務(wù)。安全工程師必須不斷評估威脅、漏洞和風(fēng)險，以滿足合規(guī)要求并領(lǐng)先于攻擊者。分析師必須能夠分析幾乎每天的漏洞報告并計算它們對系統(tǒng)的影響。這可能導(dǎo)致過度工作和疲勞，因為漏洞報告永遠(yuǎn)不會停止。自動化對于幫助組織理解威脅情報數(shù)據(jù)、動態(tài)更新策略和實現(xiàn)系統(tǒng)內(nèi)的持續(xù)合規(guī)性至關(guān)重要。機(jī)器可讀性是啟用自動化威脅和風(fēng)險分析流程所必需的。

本文研究了當(dāng)今可用的一些自動化威脅和漏洞管理選項，并討論了如何調(diào)整這些方法以實現(xiàn)物聯(lián)網(wǎng)安全和維護(hù)近乎實時的合規(guī)性和風(fēng)險狀態(tài)視圖的目標(biāo)。之前的一篇文章更廣泛地討論了對幫助開發(fā)人員更有效地在物聯(lián)網(wǎng)產(chǎn)品中構(gòu)建安全性的工具的需求。

為了實現(xiàn)物聯(lián)網(wǎng)部署的自動化風(fēng)險管理，分析系統(tǒng)從眾多不同來源獲取數(shù)據(jù)并自動分析該數(shù)據(jù)以清晰地描繪最新風(fēng)險。理想情況下，數(shù)據(jù)源包括物聯(lián)網(wǎng)產(chǎn)品本身，這些產(chǎn)品應(yīng)設(shè)計為報告設(shè)備軟件和硬件組成以及第三方或開源組件。安全運(yùn)營團(tuán)隊運(yùn)行的固件分析工具掃描最新部署的固件并報告弱點。威脅情報源為威脅提供上下文，包括攻擊者配置文件和能力。所有這些數(shù)據(jù)都應(yīng)該以機(jī)器可讀的格式提供，以便可以將其提供給經(jīng)過訓(xùn)練的機(jī)器學(xué)習(xí)算法，以計算每個設(shè)備的風(fēng)險概況。維護(hù)每種設(shè)備的持續(xù)更新的風(fēng)險概況為分析安全權(quán)衡決策提供了堅實的基礎(chǔ)。圖 1 顯示了用于自動和持續(xù)威脅和風(fēng)險分析的框架。

圖 1：數(shù)據(jù)收集為自動化風(fēng)險分析提供依據(jù)（來源：VDOO）

可以自動化的首批領(lǐng)域之一是威脅情報共享。威脅情報提供有關(guān)最新攻擊者配置文件和與危害指標(biāo) ( IoC ) 相關(guān)的上下文的持續(xù)數(shù)據(jù)。今天，有許多可用的自動化威脅情報共享工具。結(jié)構(gòu)化威脅信息表達(dá)(STIX) 就是一個例子。STIX 由 MITRE 和 OASIS 創(chuàng)建，允許共享威脅信息，包括動機(jī)、能力和建議的響應(yīng)。STIX 還提供與受損指標(biāo)相關(guān)的數(shù)據(jù)以及在受損時采取的適當(dāng)響應(yīng)/行動方案。STIX 2.0 可從 OASIS 獲得，旨在作為獨(dú)立的共享標(biāo)準(zhǔn)或與可信的自動情報信息交換 (TAXII) 規(guī)范一起工作。

TAXII也由 OASIS 定義。TAXII 是一個基于 REST 的 API，通過 HTTPS 運(yùn)行。該規(guī)范定義了如何共享標(biāo)準(zhǔn)化的威脅情報信息?？梢允褂没镜陌l(fā)布/訂閱模型配置通道，允許生產(chǎn)者與消費(fèi)者共享威脅情報數(shù)據(jù)。在物聯(lián)網(wǎng)模型中，支持設(shè)備產(chǎn)品的云安全服務(wù)將充當(dāng)威脅情報數(shù)據(jù)的消費(fèi)者，使服務(wù)能夠自主評估與設(shè)備相關(guān)的最新威脅環(huán)境。定義了三個服務(wù)：

發(fā)現(xiàn)服務(wù)允許對等方/訂戶了解支持的服務(wù)。

集合管理服務(wù)允許訂閱數(shù)據(jù)集合。

收件箱服務(wù)允許節(jié)點接收內(nèi)容，而輪詢服務(wù)指定如何請求內(nèi)容。

TAXII 中定義了三種共享模型：Hub and Spoke、Source/Subscriber 和 Peer to Peer。

STIX 和 TAXII 都是機(jī)器可讀的。將此類服務(wù)設(shè)計為機(jī)器可讀是啟用自動分析和響應(yīng)最新威脅的先決條件。這些威脅情報源提供了有用的信息，但必須在與物聯(lián)網(wǎng)產(chǎn)品相關(guān)的獨(dú)特漏洞的背景下進(jìn)行分析——為此，需要額外的數(shù)據(jù)源。例如，必須提供最新的安全咨詢數(shù)據(jù)。機(jī)器可讀的漏洞源允許物聯(lián)網(wǎng)安全服務(wù)在上下文中分析威脅，為其產(chǎn)品提出真正基于風(fēng)險的評分模型。例如，Cisco 定義了OpenVuln API以實現(xiàn)其思科特定安全建議的自動化。安全內(nèi)容自動化協(xié)議 (SCAP) 為機(jī)器提供與供應(yīng)商無關(guān)的能力來使用 CVE 數(shù)據(jù)。SCAP 已經(jīng)存在十多年了，它提供了已知安全漏洞、軟件配置問題和相關(guān)產(chǎn)品名稱的列表。

產(chǎn)品漏洞信息必須延伸到產(chǎn)品中使用的組件。開源軟件 (OSS) 和第三方庫在物聯(lián)網(wǎng)產(chǎn)品中發(fā)揮著至關(guān)重要的作用?？蛻艚M織必須能夠在部署的物聯(lián)網(wǎng)產(chǎn)品中識別這些庫，以準(zhǔn)確計算風(fēng)險。為了解決這個問題，美國國家電信行業(yè)協(xié)會 (NTIA) 正在開展軟件組件透明度計劃，該計劃將產(chǎn)生機(jī)器可讀的軟件材料清單 (SBOM)。

SBOM 將使客戶組織能夠查詢產(chǎn)品中使用的庫和組件，并在自動分析程序中使用數(shù)據(jù)。這支持輕松識別必須修補(bǔ)的易受攻擊的組件，并允許開發(fā) API 在產(chǎn)品生命周期內(nèi)跟蹤這些組件的狀態(tài)。然而，物聯(lián)網(wǎng)產(chǎn)品供應(yīng)商需要時間來開始整合這一新功能。

在此期間，安全運(yùn)營團(tuán)隊可以使用VDOO Vision ? 等工具來掃描連接到網(wǎng)絡(luò)的物聯(lián)網(wǎng)產(chǎn)品，報告漏洞并清點其物聯(lián)網(wǎng)設(shè)備中存在的所有第三方庫。此信息用于更準(zhǔn)確地計算風(fēng)險并確定必須快速部署哪些特定庫補(bǔ)丁。VDOO 的嵌入式運(yùn)行時代理 ( ERA? ) 等工具) 甚至可以在物聯(lián)網(wǎng)產(chǎn)品上快速編譯，以比開發(fā)人員修補(bǔ)所需要的速度更快地緩解已識別的固件風(fēng)險，從而為安全運(yùn)營團(tuán)隊提供了一種平衡的緩解方法。ERA 支持 Linux 和 Android，并在 MIPS、ARM 和 X86_64 架構(gòu)上運(yùn)行。它旨在最大限度地減少對設(shè)備要求的影響，例如代碼大小、延遲。例如，ERA 僅引入了 1MB 的存儲開銷和不到典型 IoT CPU 開銷的 1%。安全工程師會根據(jù) VDOO Vision 掃描結(jié)果了解量身定制的 ERA 保護(hù)措施。

安全運(yùn)營團(tuán)隊?wèi)?yīng)開始為其物聯(lián)網(wǎng)部署設(shè)計自動化風(fēng)險管理流程。例如，在國防部 (DoD) 中，網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者已開始在其持續(xù)合規(guī)計劃的成功基礎(chǔ)上，開始啟用更全面的自動化風(fēng)險管理計劃。安全團(tuán)隊可以通過評估多個數(shù)據(jù)饋送來自動量化風(fēng)險，從而更好地了解漏洞的上下文，而不是簡單地計算證明部署遵守一組政策或法規(guī)的合規(guī)性記分卡。這需要全面了解系統(tǒng)中當(dāng)前的漏洞以及威脅的影響和可能性。

所有這些自動數(shù)據(jù)饋送都可以讓產(chǎn)品安全工程師開始考慮對最新風(fēng)險的自動響應(yīng)。我們可以查看云防火墻行業(yè)的威脅信息自動響應(yīng)示例。今天的云防火墻集成了 API，這些 API 可以根據(jù)最新的威脅情報（例如已知的惡意 IP 地址或 DNS 記錄）自動修改規(guī)則。

物聯(lián)網(wǎng)產(chǎn)品應(yīng)該開始在設(shè)備和云服務(wù)級別整合基本的安全自動化功能，允許在發(fā)現(xiàn)新威脅或威脅的可能性或影響增加時更新策略和規(guī)則集。NIST 的國家網(wǎng)絡(luò)安全卓越中心 (NCCOE) 等組織也在定義新的方法，例如制造商使用描述MUD，允許在云中生成和存儲設(shè)備配置文件。這些配置文件向生態(tài)系統(tǒng)發(fā)出設(shè)備的有效通信配置文件的信號。使用這種方法，物聯(lián)網(wǎng)設(shè)備配置文件可以為物聯(lián)網(wǎng)部署的自動化風(fēng)險分析提供額外的輸入。

隨著行業(yè)在啟用自動化風(fēng)險管理技術(shù)方面不斷取得進(jìn)展，物聯(lián)網(wǎng)產(chǎn)品供應(yīng)商應(yīng)采用這些功能來支持其客戶快速評估風(fēng)險和自動部署緩解措施的能力。

審核編輯 黃昊宇