别让事故告诉你 物联网安全有多重要 文章链接:中国安防展览网 http://www.afzhan.com/news/detail/53912.html
http://www.elecfans.com/iot/453387.html
2016年,我们看到一些首次以物联网为推力的网络攻击,其中包括10月份造成互联网大面积瘫痪的一次攻击。随着我们步入新的一年,安全将会成为年轻物联网产业的尖锐问题,而物联网安全专家的缺乏也使得跟上黑客的步伐变得很难。
IoT带来如下新的挑战:
(1) 增加的隐私问题经常让人感到困惑。
(2) 平台安全的局限性使得基本的安全控制面临挑战。
(3) 普遍存在的移动性使得追踪和资产管理面临挑战。
(4) 设备的数量巨大使得常规的更新和维护操作面临挑战。
(5) 基于云的操作使得边界安全不太有效。
尽管嵌入式安全话题经常突然出现,然而口头上对这个概念进行敷衍远比实际上将安全植入硬件之中要容易得多。新思科技安全战略官罗伯特·瓦摩西说道:“情况正在改变”。“那些体积太小而无法容纳自身安全的设备将会经受以固件测试为起点的深入安全分析。”他说到。“芯片内部的软件与控制它的应用一样重要。它们都需要进行安全和质量测试。一些早期的物联网僵尸网络就是利用设备自身的缺陷和特点进行攻击的”。
第三方软件层出不穷但往往未经受过充分检验。“一些早期的物联网僵尸网络就是利用了设备内部第三方芯片里的缺陷和特点。” 罗伯特·瓦摩西说到。“搞清楚每个芯片之中软件组件的材料清单将变得很重要,因为物联网供应商往往希望能使自己避免昂贵的召回”。
当前,对于防止遭受10月份植入大多数互联网的Mirai僵尸网络等分布式拒绝服务攻击仍然是无计可施。然而,如果这一问题果真发生,互联网用户将会在安全与隐私担忧方面承担不同后果。信息安全大会顾问委员会委员托德.英斯基普说到。“长期来说,我们可能会考虑所有互联网启动设备的安全需求,但是这要与它自身的系列问题一起进行:是何种需求,由谁来验证符合性。这可能会引发不同区域和国家在安全考虑方面的冲突”,英斯基普说到。“在假定所有参与者至少在最初都是自私的这一情形下,互联网设计的目的是具备开放和富有弹性。相反,我们会继续寻找具有恶意企图的个人、组织和民族国家。”
与此同时,公司和个人也可以采取相应措施来减少僵尸网络的威力。根据袋熊安全公司首席技术官特雷弗.霍索恩的说法,人们可以采取三大步骤来避免僵尸网络问题。首先,杜绝将物联网设备暴露在开放的互联网之中。“这可能是最重要的考量”他说到。其次,确保物联网设备不断更新。再次,改变所有设备上的初始密码。
1993年,《周六夜现场》上演了一部滑稽剧,嘲弄汽车产业仅仅依靠警报和方向盘锁来保护汽车的策略。
“在九十年代,你不再需要一辆汽车来告诉世人你多富有。但是你的确需要一辆汽车来告诉世人你很聪明。”答案是一辆Chameleon XLE(变色龙XLE)汽车,它外面看起来一文不值但是内部却装饰豪华并且引擎盖下面有一个超强的发动机。“一个偷车贼看一眼它后,然后继续靠右向前走”嘲弄台词这样解释到。
尽管是一个玩笑,《周六夜现场》滑稽剧告诉我们要像罪犯一样思考。网络罪犯和偷车贼往往都会被那些有价值但却能轻易闯入的目标所吸引。拥有物联网设备的机构不仅仅应该将精力放在确保产品安全上,而且还要明白黑客一开始为何关注它们的产品,同时必须明白要采取何种措施才能使这些设备不再成为黑客关注的目标。
在技术领域,许多人一直在与安全问题做斗争,即使同样的基本威胁持续了几十年。“物联网威胁从根本上来说就是我们最近20来年一直设法处理的同类威胁:不怀好意的参与者(个人、组织和民族国家)试图通过破坏数据及服务的机密性、完整性和有效性来抢占优势”,信息安全大会顾问委员会委员托德.英斯基普说到。
然而,当提到信息和服务时,物联网设备的确开辟了新领域。“这些新的设备可以处理各种信息并且比之前的设备更能影响现实生活”,英斯基普说到。“处于生产线之中的物联网设备一旦紊乱可能会使搅拌的化学品比例失调。家中的物联网设备被侵入时有可能打开房门,或者公司内部的视频可能会让外部的人分享。尽管这些威胁是一样的,但是风险可能迥然不同”。
整个技术行业的安全专家仍然是供不应求。物联网产业也不例外,信息安全大会顾问委员会委员托德.英斯基普说到。“对所有行业来说,招聘到安全人才的确是一项挑战,”袋熊安全首席技术官特雷弗.霍索恩也赞同到。
“资金充裕和知名的供应商在这方面将会容易一些。问题是洪水般涌来的小而廉价的产品往往都是由离岸制造商生产的,这些制造商们的安全追踪记录令人堪忧。正如我们看到的那样,离岸物联网设备制造商一开始并未重视安全工作,所以如果它们需要招募人才,将会困难重重。”
同时,产品安全行业也会充分利用现有的安全模型。“我们已经看到一种新型的安全人才已经涌现—首席产品安全官,以及他们的支持人员,产品安全官和产品安全工程师。但是这些角色中的人都会说他们是独一无二的”。英斯基普说到。与这些专业人员有关的需求文件有很多种,其中包括用于硬件的美国国家标准与技术研究所的联邦信息处理标准—140和用于软件及系统的全球通用的共同准则。另一个例子则是更加注重软件的建立安全成熟度模型。
可以预测到未来数以亿计的物联网设备将会覆盖整个星球,而跟踪何种设备应置于何处至关重要。“随着物联网设备被部署在IPv4网络里,这些机构们应该能够扫描或者‘看到’其网络中部署了何种物联网设备。”袋熊安全首席技术官特雷弗.霍索恩说到。“有了IPv6,众多IPv6地址的存在可能很难扫描到边界。这些机构可能需要将注意力放在其它的模型上,从而保持对所拥有的和所暴露设备的控制。
物联网安全研究可以从工控安全、智能汽车安全和智能家居安全三个领域切入。比如攻击者可以利用网络攻破一些智能家用产品的安全防线,如侵占智能设备(恒温控制器、智能TV、摄像头),从而获取用户隐私信息,带来安全隐患,再比如,攻击者可以攻破智能汽车系统,严重时可能会威胁人们的生命安全。
另外报告给出物联网安全的六个关注点,物联网安全网关、应用层的物联网安全服务、漏洞挖掘研究、物联网僵尸网络研究、区块链技术和物联网设备安全设计,为信息安全行业厂商进军物联网万亿级蓝海提供指导方向性指导。报告指出,目前物联网设备制造商没有强大的安全背景,也缺乏标准来说明一个产品是否是安全的。 很多安全问题来自于不安全的设计。绿盟科技建议,信息安全厂商要做到三点:一是提供安全的开发规范,提高产品的安全性;二是将安全模块内置于物联网产品中,对设备提供更好的安全防护;三是对出厂设备进行安全检测,及时发现设备中的漏洞并协助厂商进行修复。
物联网安全项目
物联网安全项目(Secure Internet of Things Project)[1]是一个跨学科的研究项目,包括斯坦福大学、UC伯克利大学和密歇根大学的计算机系和电子工程系。
TRUST
TRUST[1]是斯坦福大学的计算机安全实验室[2]的一个项目,针对的是物理基础设施的安全研究。该项目定位于下一代的SCADA和网络嵌入式系统,它们控制关键的物理基础设施(如电网、天然气、水利、交通等)以及未来的基础设施(如智能建筑)和结构(如active-bridges,它的结构完整性依赖于动态控制或actuators)。
该研究具有前瞻性,随着工业化与信息化的融合,原有的工业控制环境发生了变化,为了更好地抵抗来自互联网的攻击,有必要设计下一代的SCADA和网络嵌入式系统。
OWASP Internet of Things Project
开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)[1]是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。OWASP物联网项目的目标是帮助制造商、开发人员、消费者更好地理解与物联网相关的安全问题,使得用户在构建、部署或者评估物联网技术时可以更好地制定安全决策。该项目包括物联网攻击面、脆弱性、固件分析、工控安全等子项目。
CSA
云安全联盟(Cloud Security Alliance,CSA)[2],成立于2009年3月31日,其成立的目的是为了在云计算环境下提供最佳的安全方案。CSA包含很多个工作组,其中的物联网工作组,关注于理解物联网部署的相关用例以及定义可操作的安全实施指南。
NIST
美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)直属美国商务部,从事物理、生物和工程方面的基础和应用研究,以及测量技术和测试方法方面的研究,提供标准、标准参考数据及有关服务,在国际上享有很高的声誉
国家安全和经济安全依赖于可靠的关键基础设施的运作。网络空间安全对关键基础设施系统会造成很大的影响,为了能够处理这个威胁,NIST[1]提出了网络安全架构。这个架构是由一系列的工业标准和工业最佳实践组成的,目的是帮助企业管理网络空间安全威胁。
这个架构是业务驱动的,来指导网络空间安全活动,并使公司将考虑网络空间安全威胁作为公司威胁管理的一部分,架构主要包括三个部分:架构核心、架构轮廓和架构实现层。这个架构使公司–不管规模是多少、面临的网络安全威胁有多严重或者网络空间安全问题的复杂性—都可以应用这些规则和最佳实践来进行风险管理以提高关键基础设施的安全性和恢复力。
IoT Security Foundation
IoTS[2]的成员包括ARM、华为等公司。他们的目标是帮助物联网实现安全性,使得物联网能够被广泛使用,同时他的优点能够被最大化的利用。为了实现这个目标,他们要提升技术理论水平和了解业界的最佳实践,为那些生产或者使用物联网设备的人提供支持。
已有技术在物联网环境中的应用
异常行为检测
异常行为检测对应的物联网安全需求为攻击检测和防御、日志和审计。
文章前面已经提到过,异常行为检测的方法通常有两个:一个是建立正常行为的基线,从而发现异常行为,另一种是对日志文件进行总结分析,发现异常行为。
物联网与互联网的异常行为检测技术也有一些区别,如利用大数据分析技术,对全流量进行分析,进行异常行为检测,在互联网环境中,这种方法主要是对TCP/IP协议的流量进行检测和分析,而在物联网环境中,还需要对其它的协议流量进行分析,如工控环境中的Modbus、PROFIBUS等协议流量。此外,物联网的异常行为检测也会应用到新的应用领域中,如在车联网环境中对汽车进行异常行为检测。360研究员李均[1]利用机器学习的方法,为汽车的不同数据之间的相关性建立了一个模型,这个模型包含了诸多规则。依靠对行为模式、数据相关性和数据的协调性的分析对黑客入侵进行检测。
代码签名
对应的物联网安全需求:设备保护和资产管理、攻击检测和防御。
通过代码签名可以保护设备不受攻击,保证所有运行的代码都是被授权的,保证恶意代码在一个正常代码被加载之后不会覆盖正常代码,保证代码在签名之后不会被篡改。相较于互联网,物联网中的代码签名技术不仅可以应用在应用级别,还可以应用在固件级别,所有的重要设备,包括传感器、交换机等都要保证所有在上面运行的代码都经过签名,没有被签名的代码不能运行。
由于物联网中的一些嵌入式设备资源受限,其处理器能力,通信能力,存储空间有限,所以需要建立一套适合物联网自身特点的、综合考虑安全性、效率和性能的代码签名机制。
白盒密码
对应的物联网安全需求:设备保护和资产管理。
物联网感知设备的系统安全、数据访问和信息通信通常都需要加密保护。但由于感知设备常常散布在无人区域或者不安全的物理环境中,这些节点很可能会遭到物理上的破坏或者俘获。如果攻击者俘获了一个节点设备,就可以对设备进行白盒攻击。传统的密码算法在白盒攻击环境中不能安全使用,甚至显得极度脆弱,密钥成为任何使用密码技术实施保护系统的单一故障点。在当前的攻击手段中,很容易通过对二进制文件的反汇编、静态分析,对运行环境的控制结合使用控制CPU断点、观测寄存器、内存分析等来获取密码。在已有的案例中我们看到,在未受保护的软件中,密钥提取攻击通常可以在几个小时内成功提取以文字数据阵列方式存放的密钥代码。
白盒密码算法[2]是一种新的密码算法, 它与传统密码算法的不同点是能够抵抗白盒攻击环境下的攻击。白盒密码使得密钥信息可充分隐藏、防止窥探,因此确保了在感知设备中安全地应用原有密码系统,极大提升了安全性。
白盒密码作为一个新兴的安全应用技术,能普遍应用在各个行业领域、应用在各个技术实现层面。例如,HCE云支付、车联网,在端点(手机终端、车载终端)层面实现密钥与敏感数据的安全保护;在云计算上,可对云上的软件使用白盒密码,保证在云这个共享资源池上,进行加解密运算时用户需要保密的信息不会被泄露。
over-the air (OTA)
对应的物联网安全需求:设备保护和资产管理。
空中下载技术(over-the air,OTA),最初是运营商通过移动通信网络(GSM或者CDMA)的空中接口对SIM卡数据以及应用进行远程管理的技术,后来逐渐扩展到固件升级,软件安全等方面。
随着技术的发展,物联网设备中总会出现脆弱性,所以设备在销售之后,需要持续的打补丁。而物联网的设备往往数量巨大,如果花费人力去人工更新每个设备是不现实的,所以OTA技术在设备销售之前应该被植入到物联网设备之中。
深度包检测 (DPI) 技术
对应的物联网安全需求:攻击检测和防御。
互联网环境中通常使用防火墙来监视网络上的安全风险,但是这样的防火墙针对的是TCP/IP协议,而物联网环境中的网络协议通常不同于传统的TCP/IP协议,如工控中的Modbus协议等,这使得控制整个网络风险的能力大打折扣。因此,需要开发能够识别特定网络协议的防火墙,与之相对应的技术则为深度包检测技术。
深度包检测技术(deep packet inspection,DPI)是一种基于应用层的流量检测和控制技术,当IP数据包、TCP或UDP数据流通过基于DPI技术的带宽管理系统时,该系统通过深入读取IP包载荷的内容来对OSI七层协议中的应用层信息进行重组,从而得到整个应用程序的内容,然后按照系统定义的管理策略对流量进行整形操作。
思科和罗克韦尔[3]自动化联手开发了一项符合工业安全应用规范的深度数据包检测 (DPI) 技术。采用 DPI 技术的工业防火墙有效扩展了车间网络情况的可见性。它支持通信模式的记录,可在一系列安全策略的保护之下提供决策制定所需的重要信息。用户可以记录任意网络连接或协议(比如 EtherNet/IP)中的数据,包括通信数据的来源、目标以及相关应用程序。
在全厂融合以太网 (CPwE) 架构中的工业区域和单元区域之间,采用 DPI 技术的车间应用程序能够指示防火墙拒绝某个控制器的固件下载。这样可防止滥用固件,有助于保护运营的完整性。只有授权用户才能执行下载操作。
防火墙
对应的物联网安全需求:攻击检测和防御。
物联网环境中,存在很小并且通常很关键的设备接入网络,这些设备由8位的MCU控制。由于资源受限,对于这些设备的安全实现非常有挑战。这些设备通常会实现TCP/IP协议栈,使用Internet来进行报告、配置和控制功能。由于资源和成本方面的考虑,除密码认证外,许多使用8位MCU的设备并不支持其他的安全功能。
Zilog[4]和Icon Labs[5]联合推出了使用8位MCU的设备的安全解决方案。Zilog提供MCU,Icon Labs将Floodgate防火墙[6]集成到MCU中,提供基于规则的过滤,SPI(Stateful Packet Inspection)和基于门限的过滤(threshold-based filtering)。防火墙控制嵌入式系统处理的数据包,锁定非法登录尝试、拒绝服务攻击、packet floods、端口扫描和其他常见的网络威胁。
新技术的探索
区块链
对应的物联网安全需求:认证
区块链(Blockchain ,BC)[1]是指通过去中心化和去信任的方式集体维护一个可靠数据库的技术方案。该技术方案主要让参与系统中的任意多个节点,通过一串使用密码学方法相关联产生的数据块(block),每个数据块中包含了一定时间内的系统全部信息交流数据,并且生成数据指纹用于验证其信息的有效性和链接(chain)下一个数据库块。结合区块链的定义,需要有这几个特征:去中心化(Decentralized)、去信任(Trustless)、集体维护(Collectively maintain)、可靠数据库(Reliable Database)、开源性、匿名性。区块链解决的核心问题不是“数字货币”,而是在信息不对称、不确定的环境下,如何建立满足经济活动赖以发生、发展的“信任”生态体系。这在物联网上是一个道理,所有日常家居物件都能自发、自动地与其它物件、或外界世界进行互动,但是必须解决物联网设备之间的信任问题。
http://iot.ofweek.com/2016-12/ART-132209-8120-30080211_3.html
物联网安全可以作为切入点的领域
(1)工控安全
针对工业控制系统的攻击将导致严重的后果。工业4.0驱动制造业、过程控制、基础设施、其他工业控制系统的连通性,对于这些系统的威胁不断上升。
(2)智能汽车安全
随着特斯拉汽车的推出,以及苹果、谷歌等互联网巨头新的智能汽车系统的成熟,车联网正在从概念变为现实,但是智能汽车一旦遭受黑客攻击,发生安全问题,可能会造成严重的交通事故,威胁人们的生命安全。
(3)智能家居安全
随着物联网技术的迅速发展,智能家居概念颇为火热,但是如果黑客能轻松的利用网络攻破一些智能家用产品的安全防线, 如:黑客侵占智能设备(恒温控制器、智能TV、摄像头),可以获取用户隐私信息,带来安全隐患。
物联网安全研究点
基于调研,我们总结了物联网安全的六个关注点:
(1)物联网安全网关
物联网设备缺乏认证和授权标准,有些甚至没有相关设计,对于连接到公网的设备,这将导致可通过公网直接对其进行访问。另外,也很难保证设备的认证和授权实现没有问题,所有设备都进行完备的认证未必现实(设备的功耗等),可考虑额外加一层认证环节,只有认证通过,才能够对其进行访问。结合大数据分析提供自适应访问控制。
对于智能家居内部设备(如摄像头)的访问,可将访问视为申请,由网关记录并通知网关APP,由用户在网关APP端进行访问授权。
未来物联网网关可以发展成富应用平台,就像当下的手机一样。一是对于用户体验和交互性来说拥有本地接口和数据存储是非常有用的,二是即使与互联网的连接中断,这些应用也需要持续工作。物理网关对于嵌入式设备可以提供有用的安全保护。低功耗操作和受限的软件支持意味着频繁的固件更新代价太高甚至不可能实现。反而,网关可以主动更新软件(高级防火墙)以保护嵌入式设备免受攻击。实现这些特性需要重新思考运行在网关上的操作系统和其机制。
软件定义边界可以被用来隐藏服务器和服务器与设备的交互,从而最大化地保障安全和运行时间。
细粒度访问控制:研究基于属性的访问控制模型,使设备根据其属性按需细粒度访问内部网络的资源;
自适应访问控制:研究安全设备按需编排模型,对于设备的异常行为进行安全防护,限制恶意用户对于物联网设备的访问。
同时,安全网关还可与云端通信,实现对于设备的OTA升级,可以定期对内网设备状态进行检测,并将检测结果上传到云端进行分析等等。
但是,也应意识到安全网关的局限性,安全网关更适用于对于固定场所中外部与内部连接之间的防护,如家庭、企业等,对于一些需要移动的设备的安全,如智能手环等,或者内部使用无线通信的环境,则可能需要使用其他的方式来解决。
(2)应用层的物联网安全服务
应用层的物联网安全服务主要包含两个方面,一是大数据分析驱动的安全,二是对于已有的安全能力的集成。
由于感知层的设备性能所限,并不具备分析海量数据的能力,也不具备关联多种数据发现异常的能力,一种自然的思路是在感知层与网络层的连接处提供一个安全网关,安全网关负责采集数据,如流量数据、设备状态等等,这些数据上传到应用层,利用应用层的数据分析能力进行分析,根据分析结果,下发相应指令。
传统的Web安全中的安全能力,如URL信誉服务、IP信誉服务等等,同样可以集成到物联网环境中,可作为安全服务模块,由用户自行选择。
利用云端进行大数据分析
漏洞挖掘研究
物联网漏洞挖掘主要关注两个方面,一个是网络协议的漏洞挖掘,一个是嵌入式操作系统的漏洞挖掘。分别对应网络层和感知层,应用层大多采用云平台,属于云安全的范畴,可应用已有的云安全防护措施。
在现代的汽车、工控等物联网行业,各种网络协议被广泛使用,这些网络协议带来了大量的安全问题。需要利用一些漏洞挖掘技术对物联网中的协议进行漏洞挖掘,先于攻击者发现并及时修补漏洞,有效减少来自黑客的威胁,提升系统的安全性。
物联网设备多使用嵌入式操作系统,如果这些嵌入式操作系统遭受了攻击,将会对整个设备造成很大的影响。对嵌入式操作系统的漏洞挖掘也是一个重要的物联网安全研究方向。
(4)物联网僵尸网络研究
今年最为有名的物联网僵尸网络便是Mirai了,它通过感染网络摄像头等物联网设备进行传播,可发动大规模的DDoS攻击,它对Brian Krebs个人网站和法国网络服务商OVH发动DDoS攻击,对于美国Dyn公司的攻击Mirai也贡献了部分流量。
对于物联网僵尸网络的研究包括传播机理、检测、防护和清除方法。
(5)区块链技术
区块链解决的核心问题是在信息不对称、不确定的环境下,如何建立满足经济活动赖以发生、发展的“信任”生态体系。
在物联网环境中,所有日常家居物件都能自发、自动地与其它物件、或外界世界进行互动,但是必须解决物联网设备之间的信任问题。
传统的中心化系统中,信任机制比较容易建立,存在一个可信的第三方来管理所有的设备的身份信息。但是物联网环境中设备众多,未来可能会达到百亿级别,这会对可信第三方造成很大的压力。
区块链系统网络是典型的P2P网络,具有分布式异构特征,而物联网天然具备分布式特征,网中的每一个设备都能管理自己在交互作用中的角色、行为和规则,对建立区块链系统的共识机制具有重要的支持作用。[①]
(6)物联网设备安全设计
物联网设备制造商并没有很强的安全背景,也缺乏标准来说明一个产品是否是安全的。很多安全问题来自于不安全的设计。信息安全厂商可以做三点:一是提供安全的开发规范,进行安全开发培训,指导物联网领域的开发人员进行安全开发,提高产品的安全性;二是将安全模块内置于物联网产品中,比如工控领域对于实时性的要求很高,而且一旦部署可能很多年都不会对其进行替换,这是的安全可能更偏重于安全评估和检测,如果将安全模块融入设备的制造过程,将能显著降低安全模块的开销,对设备提供更好的安全防护;三是对出厂设备进行安全检测,及时发现设备中的漏洞并协助厂商进行修复。
[①]摘自《中国区块链技术和应用发展白皮书(2016)》