一文為你解析物聯(lián)網(wǎng)安全架構(gòu)

美國主要域名服務(wù)器提供商DYN的服務(wù)器遭受嚴(yán)重的DDoS攻擊，導(dǎo)致大規(guī)?；ヂ?lián)網(wǎng)癱瘓，受害企業(yè)橫跨支付、餐飲、網(wǎng)絡(luò)社交、財(cái)經(jīng)媒體等多個(gè)不同領(lǐng)域，包括PayPal、星巴克、Twitter、《華爾街日報(bào)》在內(nèi)的眾多網(wǎng)站都無法訪問。這次攻擊為我們敲響了警鐘——攻擊者能夠利用15萬個(gè)安全性不夠的物聯(lián)網(wǎng)終端設(shè)備來發(fā)起惡意攻擊。

為了應(yīng)對盤旋于物聯(lián)網(wǎng)安全架構(gòu)周邊的、日益增長的恐懼和疑慮，我們聯(lián)手物聯(lián)網(wǎng)安全公司Ardexa做了相關(guān)的研究實(shí)踐，希望借此幫助那些實(shí)施物聯(lián)網(wǎng)解決方案的企業(yè)檢查其方案是否安全可靠。

開發(fā)安全性較高的端到端物聯(lián)網(wǎng)解決方案涉及多個(gè)層級的問題，但是在物聯(lián)網(wǎng)安全架構(gòu)中，我們將這些問題歸納成四個(gè)不同的層級，包括：設(shè)備層、通信層、云端和生命周期管理。

安全的設(shè)備層

設(shè)備層是指部署物聯(lián)網(wǎng)解決方案時(shí)所涉及到的硬件，即物理上的“事物”或產(chǎn)品。設(shè)計(jì)和生產(chǎn)設(shè)備的ODM、OEM廠商們致力于在他們的硬件和軟件上同時(shí)集成更多的安全功能，以提高設(shè)備層的安全性。

重要的物聯(lián)網(wǎng)安全架構(gòu)特征

· 一些制造商正在引入安全芯片TPMs (Trusted Platform Modules，也叫可信任平臺(tái)模塊)，因?yàn)槊荑€被存儲(chǔ)在硬件中，被竊的數(shù)據(jù)無法解密，從而從根源上保護(hù)了敏感信息和憑證。(即，不是在芯片外部設(shè)置加密秘鑰)

· 安全啟動(dòng)機(jī)制可以確保只有經(jīng)過驗(yàn)證的軟件才能在設(shè)備上運(yùn)行。

· 采取物理層的安全保護(hù)措施(例如，對所有內(nèi)部電路進(jìn)行全金屬屏蔽)，這種方式下即使入侵者獲得對設(shè)備的物理訪問，也能夠防止信息被篡改。

雖然這些“ hard identities ”或“ 物理保護(hù)屏障 ”在特定情況下可能是有價(jià)值的，但是數(shù)據(jù)移動(dòng)和設(shè)備處理復(fù)雜任務(wù)的能力決定了該設(shè)備所面臨的風(fēng)險(xiǎn)水平。從一開始就重視設(shè)備的邊緣處理能力和復(fù)雜的安全功能是一條重要的原則。

設(shè)備層的IoT安全架構(gòu)原則

原則一：設(shè)備智能化是處理復(fù)雜的、安全性要求高的任務(wù)的前提條件

目前許多可用的終端設(shè)備(比如電器、工具、玩具或配件)都能通過以太網(wǎng)或WiFi網(wǎng)絡(luò)與云平臺(tái)或服務(wù)器進(jìn)行“溝通”，但是這些設(shè)備通常只通過一個(gè)微處理器進(jìn)行驅(qū)動(dòng)，它們不能處理復(fù)雜的網(wǎng)絡(luò)連接，因此不應(yīng)該用于處理物聯(lián)網(wǎng)應(yīng)用中的前端任務(wù)。

有效的、安全的連接必須由一個(gè)智能化的設(shè)備提供，這個(gè)設(shè)備需要具備加密、認(rèn)證、時(shí)間戳、緩存、代理、防火墻、連接丟失等能力。設(shè)備必須具有魯棒性，并且能夠在有限的支持下進(jìn)行現(xiàn)場操作。

原則二：邊緣處理的安全優(yōu)勢

事實(shí)上，智能設(shè)備是一種能夠自我“進(jìn)化”的設(shè)備，能夠隨著時(shí)間的推移讓自己更加強(qiáng)大、有用，例如：機(jī)器學(xué)習(xí)算法目前已經(jīng)達(dá)到能讓一些小型設(shè)備擁有處理視頻流的能力，這在幾年前是難以想象的，當(dāng)然計(jì)算機(jī)除外。邊緣處理意味著這些智能設(shè)備可以在本地處理相關(guān)的數(shù)據(jù)，而不用將數(shù)據(jù)上傳到云端。

邊緣計(jì)算真的可以增強(qiáng)設(shè)備的安全性嗎?是的，絕對可以。因?yàn)檫吘壧幚硪馕吨舾行畔⒉恍枰蟼鞯皆贫耍虼嗽谠O(shè)備層處理數(shù)據(jù)有助于強(qiáng)化整個(gè)網(wǎng)絡(luò)。

設(shè)備層事例及注意事項(xiàng)

AFIT更改PLC固件

2014年，美國空軍技術(shù)研究所(AFIT)的研究人員展示了使用惡意固件啟動(dòng)不安全設(shè)備的可行性。他們創(chuàng)建了一個(gè)在工業(yè)可編程邏輯控制器(PLC)中檢測不到的原型rootkit，該軟件能夠破壞工廠的正常運(yùn)營。

設(shè)備層解決方案注意事項(xiàng)：

· 設(shè)備供應(yīng)商是否提供rootkit惡意軟件的保護(hù)

· 設(shè)備安裝過程中是否易受攻擊

· 設(shè)備是否定期測試惡意rootkit

· 物聯(lián)網(wǎng)架構(gòu)是否能對固件進(jìn)行遠(yuǎn)程測試

· 自動(dòng)化設(shè)備的常規(guī)服務(wù)程序是否會(huì)引入漏洞

· 我們是否可以檢測到rootkit惡意軟件

安全的通信層

通信層指的是物聯(lián)網(wǎng)解決方案的連接網(wǎng)絡(luò)，即安全地發(fā)送/接收數(shù)據(jù)的媒介。敏感數(shù)據(jù)能否在物理層，網(wǎng)絡(luò)層或應(yīng)用層等不安全的通信信道中傳輸是一個(gè)值得注意的問題，因?yàn)檫@些數(shù)據(jù)很可能受到諸如中間人攻擊(MITM)之類的攻擊形式。

重要的物聯(lián)網(wǎng)安全架構(gòu)特征

· 以數(shù)據(jù)為中心的安全解決方案能夠確保數(shù)據(jù)在傳輸(靜止)時(shí)被安全地加密，除非對方擁有正確加密密鑰的用戶(個(gè)人，設(shè)備，系統(tǒng)或應(yīng)用)解鎖代碼，否則即使數(shù)據(jù)被攔截了也毫無用處。

· 防火墻和入侵防御系統(tǒng)用來檢查特殊數(shù)據(jù)流(如，非IT協(xié)議)，并在設(shè)備端終止它們，所以越來越多地被應(yīng)用于檢測入侵，同時(shí)防止通信層上的惡意活動(dòng)。

通信層的物聯(lián)網(wǎng)安全架構(gòu)原則

原則三：啟動(dòng)與云端的連接

當(dāng)防火墻端口向網(wǎng)絡(luò)打開的瞬間就意味著設(shè)備已經(jīng)面臨著來自網(wǎng)絡(luò)上的重大風(fēng)險(xiǎn)，因此通常只有在必要的情況下才打開防火墻。然而，給現(xiàn)場設(shè)備所提供的支持達(dá)不到與諸如web 、電子郵件或語音/視頻服務(wù)器等同一程度。這些現(xiàn)場設(shè)備與云服務(wù)器相差甚遠(yuǎn)，它們沒有管理員可進(jìn)行漏洞修補(bǔ)、重新配置、測試和監(jiān)視軟件。

因此，允許設(shè)備直接連接到網(wǎng)絡(luò)不是一個(gè)太好的主意，設(shè)備必須首先啟動(dòng)與云端的連接。設(shè)備連接到云端還可以促進(jìn)雙向信道，從而允許物聯(lián)網(wǎng)設(shè)備被遠(yuǎn)程控制。在大多數(shù)情況下，這是非常有必要的。

與這一原則密切相關(guān)的是使用虛擬專用網(wǎng)絡(luò)(VPN)來訪問物聯(lián)網(wǎng)設(shè)備。然而，對于物聯(lián)網(wǎng)設(shè)備來說，使用VPN的危險(xiǎn)性可能與允許傳入服務(wù)一樣危險(xiǎn)，因?yàn)樗试S個(gè)人或網(wǎng)絡(luò)訪問自己網(wǎng)絡(luò)內(nèi)的資源。目前，安全任務(wù)的規(guī)模顯著增長，并且經(jīng)常超出合理控制。當(dāng)然，VPN在非常特殊的情況下是可以發(fā)揮作用的。

原則四：信息的固有安全

我們應(yīng)該非常重視物聯(lián)網(wǎng)設(shè)備的通信安全，無論信號是從設(shè)備端進(jìn)行上傳還是下載到設(shè)備端。對于物聯(lián)網(wǎng)終端設(shè)備來說，輕量級的基于消息的協(xié)議具有許多獨(dú)特的優(yōu)勢，是非常不錯(cuò)的選擇，包括雙重加密、排隊(duì)、過濾甚至與第三方共享等。

使用正確的標(biāo)簽，每個(gè)消息都可以根據(jù)適當(dāng)?shù)陌踩呗赃M(jìn)行處理。例如，限制 “遠(yuǎn)程控制”功能，或者僅允許在單方向上進(jìn)行“文件傳輸”，又或者對客戶數(shù)據(jù)進(jìn)行雙重加密。利用這種安全策略，可以控制消息流的安全傳輸。在物聯(lián)網(wǎng)設(shè)備中，消息傳遞及其相關(guān)的訪問權(quán)限設(shè)置在通信層上發(fā)揮著強(qiáng)大的作用。

通信層事例及注意事項(xiàng)

汽車遙控

2015年，兩名網(wǎng)絡(luò)安全專家通過中間人攻擊的方式，對高速公路上的吉普車實(shí)現(xiàn)了遠(yuǎn)程控制(例如，控制空調(diào)、收音機(jī)、擋風(fēng)玻璃刮水器和制動(dòng)器等)。這次襲擊展示了中間人攻擊的危害性，也導(dǎo)致廠商召回了140萬輛汽車。

通信層解決方案注意事項(xiàng)：

· 是否可以遠(yuǎn)程修補(bǔ)設(shè)備漏洞

· 物聯(lián)網(wǎng)架構(gòu)是否能夠限制入侵者的損害程度

· 第三方測試能否發(fā)揮作用

· 如何防范“邊緣”漏洞

· 大型物聯(lián)網(wǎng)系統(tǒng)的各個(gè)部門之間是否存在意想不到的聯(lián)系

· 安全的云服務(wù)層

云服務(wù)層是指物聯(lián)網(wǎng)解決方案的軟件后端，即來自設(shè)備的數(shù)據(jù)被大規(guī)模采集，分析和處理，用以產(chǎn)生洞察力并采取相應(yīng)的措施。當(dāng)評估一項(xiàng)解決方案采用云服務(wù)或者本地服務(wù)所要面臨的風(fēng)險(xiǎn)時(shí)，安全性一直是討論的核心問題。然而，對于物聯(lián)網(wǎng)的發(fā)展來說，云服務(wù)的廣泛采用是一個(gè)不容忽視的推動(dòng)因素。

重要的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全特性

· 存儲(chǔ)在云平臺(tái)上的敏感信息(即靜止數(shù)據(jù))必須加密，避免輕易受到攻擊。

· 這也有利于完整地驗(yàn)證其他云服務(wù)或第三方應(yīng)用的完整性，它們試圖與你的云服務(wù)進(jìn)行溝通從而達(dá)到防止惡意攻擊的目的。

· 數(shù)字證書在物聯(lián)網(wǎng)大規(guī)模識別和認(rèn)證需求中發(fā)揮著關(guān)鍵的作用。

物聯(lián)網(wǎng)云服務(wù)層安全原則

原則五：設(shè)備需具備識別，認(rèn)證和加密功能

人們總是使用一個(gè)密碼來訪問云服務(wù)。在某些情況下，可能有兩個(gè)驗(yàn)證因素，如“密碼+一次密碼生成器”。

然而，當(dāng)訪問云端服務(wù)的時(shí)候，機(jī)器在處理數(shù)字證書方面做得更好。因?yàn)閿?shù)字證書使用是非對稱的，加密的身份認(rèn)證系統(tǒng)，不僅可以驗(yàn)證事務(wù)，還可以在身份認(rèn)證發(fā)生之前將從設(shè)備到云端的通道進(jìn)行加密。數(shù)字證書還可以提供加密標(biāo)識，如果使用用戶名/密碼很難實(shí)現(xiàn)的相同的安全效果。

云服務(wù)層事例及注意事項(xiàng)

不安全的客戶數(shù)據(jù)

2015年，英國的網(wǎng)絡(luò)供應(yīng)商Talk Talk遭受幾個(gè)網(wǎng)絡(luò)安全漏洞的攻擊，導(dǎo)致未經(jīng)加密存儲(chǔ)的客戶數(shù)據(jù)暴露在云端。黑客能夠輕松訪問和竊取數(shù)百萬客戶的信用卡和銀行詳細(xì)信息。

通信層解決方案注意事項(xiàng)：

· 如何選擇數(shù)據(jù)存儲(chǔ)在設(shè)備端或云端

· 哪些數(shù)據(jù)元素需要加密，加密到什么級別

· 在物聯(lián)網(wǎng)云中使用什么類型的防火墻

· 是否有正確的商業(yè)模式來解決物聯(lián)網(wǎng)安全隱患

生命周期管理層的安全

安全的生命周期管理是一個(gè)包羅萬象的整體性層級，即確保從設(shè)備制造、安裝再到物品處置，整個(gè)過程中都有足夠高的安全級別。設(shè)計(jì)只是保持物聯(lián)網(wǎng)解決方案安全的第一步，整個(gè)生命周期中還包括策略執(zhí)行，定期審核和供應(yīng)商控制等環(huán)節(jié)。

重要的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全特性

· 活動(dòng)監(jiān)視器在跟蹤，記錄和檢測可疑活動(dòng)中起著重要的作用。

· 物聯(lián)網(wǎng)設(shè)備和應(yīng)用需要常規(guī)性的安全補(bǔ)丁，以便保持良好的狀態(tài)，從而加強(qiáng)抵御攻擊和修復(fù)漏洞的能力。

· 特別是在維護(hù)數(shù)十億個(gè)物聯(lián)網(wǎng)設(shè)備時(shí)，遠(yuǎn)程控制的安全性至關(guān)重要。

生命周期管理的安全原則

原則六：遠(yuǎn)程控制和更新的安全

遠(yuǎn)程控制功能和在設(shè)備的生命周期內(nèi)向其發(fā)送命令的功能是兩個(gè)非常敏感的但又非常強(qiáng)大的功能?？梢赃M(jìn)行遠(yuǎn)程控制的設(shè)備需要擁有諸如遠(yuǎn)程診斷、更新配置、更新出錯(cuò)的軟件、檢索文件、使用全新的數(shù)據(jù)重新設(shè)置機(jī)器學(xué)習(xí)算法、添加新功能等眾多功能。安全更新和遠(yuǎn)程控制的關(guān)鍵是確保設(shè)備禁止接入其他連接，即使這個(gè)設(shè)備能夠進(jìn)行雙向連接并且得到正確的保護(hù)，依然應(yīng)該使用消息交換機(jī)作為通信通道并采取正確措施。這么做的結(jié)果是，設(shè)備上的軟件充當(dāng)本地服務(wù)器，此時(shí)它只與云端進(jìn)行連接。

生命周期管理層事例及注意事項(xiàng)

醫(yī)療設(shè)備的不安全更新過程

2015年，一名黑客通過Hospira藥物輸液泵來提高給患者的藥物劑量上限，導(dǎo)致這一問題的主要原因是不安全的庫更新過程以及泵的通信模塊安全性不夠高。

生命周期管理解決方案注意事項(xiàng)：

· 維護(hù)流程是否會(huì)引入新的漏洞

· 是否設(shè)置了合適的訪問權(quán)限和級別

· 軟件或固件的更新是否經(jīng)過數(shù)字簽名或認(rèn)證

總結(jié)

以上四個(gè)不同層面提出了六個(gè)重要的物聯(lián)網(wǎng)安全架構(gòu)特征，并突出強(qiáng)調(diào)了每個(gè)原則的重要性，總結(jié)來說物聯(lián)網(wǎng)安全設(shè)計(jì)是非常復(fù)雜的。安全解決方案通常會(huì)由多個(gè)關(guān)鍵要素共同發(fā)揮作用，用以規(guī)避各種威脅或風(fēng)險(xiǎn)。從前文中提到的現(xiàn)實(shí)案例來看，所有的物聯(lián)網(wǎng)解決方案通常都需要對安全進(jìn)行全面的考慮。