隨著拜登總統(tǒng)的政府開始推動對關(guān)鍵基礎(chǔ)設(shè)施(如能源網(wǎng)、全國通信網(wǎng)絡(luò)和運(yùn)輸網(wǎng)絡(luò))的 2.9 萬億美元投資,以及最近有關(guān)毀滅性的 DarkSide 勒索軟件攻擊破壞東海岸殖民管道的消息,現(xiàn)有和提議的系統(tǒng)對惡意行為者的脆弱性再次成為熱門話題。事實(shí)上,鑒于最近對現(xiàn)有基礎(chǔ)設(shè)施的攻擊,嵌入關(guān)鍵基礎(chǔ)設(shè)施的嵌入式系統(tǒng)的網(wǎng)絡(luò)安全可能比其物理安全更為重要。
防御這種大規(guī)?;ミB的設(shè)備網(wǎng)絡(luò)的攻擊對設(shè)備開發(fā)人員、代碼開發(fā)人員和網(wǎng)絡(luò)安全專家來說是一個巨大的挑戰(zhàn)。運(yùn)營商必須監(jiān)控嵌入式系統(tǒng),不僅要確保設(shè)備正常運(yùn)行,還要不斷檢查惡意活動。導(dǎo)致設(shè)備故障的不明故障,無論是由于硬件故障還是犯罪攻擊,都可能產(chǎn)生大規(guī)模和毀滅性的影響。
構(gòu)建最健壯和防御性最強(qiáng)的基礎(chǔ)設(shè)施需要實(shí)施系統(tǒng)來評估各個級別(硬件、固件和軟件)的嵌入式設(shè)備的可靠性。在本文中,我們著眼于控制基礎(chǔ)設(shè)施物聯(lián)網(wǎng)設(shè)備的應(yīng)用程序的網(wǎng)絡(luò)安全工作進(jìn)展,以及應(yīng)用程序性能監(jiān)控的趨勢如何影響嵌入式系統(tǒng)的設(shè)計(jì)。
關(guān)鍵基礎(chǔ)設(shè)施與 IT 基礎(chǔ)設(shè)施
關(guān)鍵基礎(chǔ)設(shè)施中物聯(lián)網(wǎng)的安全問題影響深遠(yuǎn),因?yàn)樾碌幕A(chǔ)設(shè)施投資將增加數(shù)百萬必須監(jiān)控和保護(hù)的嵌入式連接設(shè)備。每個新的嵌入式系統(tǒng)及其建立的每個連接都代表著攻擊的機(jī)會。
不幸的是,關(guān)鍵基礎(chǔ)設(shè)施是一個模糊的術(shù)語。為避免混淆,讓我們定義我們的定義。OT 或操作技術(shù)是指用于幫助監(jiān)控設(shè)備和控制任何物理過程的物理硬件。IT 或信息技術(shù)是指用于在這些設(shè)備中處理信息的軟件。但隨著物理世界的上線,OT 和 IT 之間的界限越來越模糊。物聯(lián)網(wǎng)一詞已被用來指代這種現(xiàn)象。
IT 基礎(chǔ)設(shè)施對物聯(lián)網(wǎng)生態(tài)系統(tǒng)無疑也至關(guān)重要,并且可以是總稱的一個子集。就我們而言,關(guān)鍵基礎(chǔ)設(shè)施是指拜登美國就業(yè)計(jì)劃的基礎(chǔ)設(shè)施。
使用2001 年美國愛國者法案的定義,這包括其受損“將對安全、國家經(jīng)濟(jì)安全、國家公共衛(wèi)生或安全或這些事項(xiàng)的任何組合產(chǎn)生破壞性影響”的系統(tǒng)。
物聯(lián)網(wǎng)和嵌入式系統(tǒng)將成為新基礎(chǔ)設(shè)施的主要組成部分,并將增強(qiáng)現(xiàn)有基礎(chǔ)設(shè)施的能力。
雖然關(guān)鍵基礎(chǔ)設(shè)施和IT基礎(chǔ)設(shè)施是不同的,但兩者的安全性至關(guān)重要。對IT基礎(chǔ)設(shè)施的攻擊更容易實(shí)施,但也可能產(chǎn)生類似的災(zāi)難性影響,如近年來對供水系統(tǒng)的攻擊所示。
關(guān)鍵基礎(chǔ)設(shè)施嵌入式系統(tǒng)的網(wǎng)絡(luò)安全
對基礎(chǔ)設(shè)施的突出網(wǎng)絡(luò)攻擊,加上網(wǎng)絡(luò)犯罪的普遍上升,導(dǎo)致世界各國政府將大量注意力集中在物聯(lián)網(wǎng)設(shè)備和嵌入式系統(tǒng)安全上。
去年年底,美國國會通過了《2020年物聯(lián)網(wǎng)網(wǎng)絡(luò)安全法案》,該法案加強(qiáng)了政府組織部署物聯(lián)網(wǎng)設(shè)備的安全標(biāo)準(zhǔn)。雖然該法案并不廣泛適用于關(guān)鍵基礎(chǔ)設(shè)施中的所有物聯(lián)網(wǎng)實(shí)施,但很可能會產(chǎn)生波及整個行業(yè)的連鎖反應(yīng)。
在國會辯論物聯(lián)網(wǎng)網(wǎng)絡(luò)安全法案時,國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)發(fā)布了兩份文件,將指導(dǎo)未來的物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)。物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全能力核心基線定義了保護(hù)物聯(lián)網(wǎng)設(shè)備及其數(shù)據(jù)的最低安全標(biāo)準(zhǔn)。
物聯(lián)網(wǎng)設(shè)備制造商的基本網(wǎng)絡(luò)安全活動概述了物聯(lián)網(wǎng)設(shè)備制造商在評估要集成到設(shè)備中的網(wǎng)絡(luò)安全控制時應(yīng)采取的步驟。連續(xù)系統(tǒng)監(jiān)控是一個特定的重點(diǎn)領(lǐng)域。
歐盟也在加強(qiáng)其網(wǎng)絡(luò)安全法規(guī),以應(yīng)對基礎(chǔ)設(shè)施威脅。去年晚些時候,歐盟開始考慮修改其關(guān)于網(wǎng)絡(luò)和信息系統(tǒng)安全的指令。
嵌入式系統(tǒng)開發(fā)人員遵循這些法律發(fā)展。雖然它們目前更具抱負(fù)性而非可操作性,但最終將導(dǎo)致特定的設(shè)備設(shè)計(jì)要求。
應(yīng)用程序性能監(jiān)視的趨勢
對于未來嵌入式系統(tǒng)網(wǎng)絡(luò)安全設(shè)計(jì)的具體想法,開發(fā)人員可以關(guān)注其他 IT 性能和安全領(lǐng)域的趨勢,例如網(wǎng)絡(luò)應(yīng)用程序性能監(jiān)控 (APM)。
然而,監(jiān)控關(guān)鍵基礎(chǔ)設(shè)施中的嵌入式系統(tǒng)的應(yīng)用程序是專門黑客的目標(biāo)。APM 將成為維護(hù)關(guān)鍵基礎(chǔ)設(shè)施安全的重要方面。嵌入式系統(tǒng)開發(fā)人員應(yīng)了解 APM 工具將如何與其設(shè)備交互,以及 APM 的趨勢將如何影響嵌入式系統(tǒng)設(shè)計(jì)要求。
簡化數(shù)據(jù)收集和傳輸
現(xiàn)有網(wǎng)絡(luò)已經(jīng)遇到處理連接設(shè)備的帶寬問題。想象一下,當(dāng)連接設(shè)備的數(shù)量增加一個數(shù)量級或更多時,問題將變得多么糟糕。如果網(wǎng)絡(luò)問題中斷了嵌入式設(shè)備與其遠(yuǎn)程監(jiān)控系統(tǒng)之間的連接,則該設(shè)備更容易受到攻擊。
投資于經(jīng)驗(yàn)豐富且受過良好教育的網(wǎng)絡(luò)管理員的服務(wù)可能是一種解決方案。預(yù)計(jì)到明年,網(wǎng)絡(luò)管理作為一個職業(yè)將增加超過 42,000 個工作崗位,原因很容易理解。網(wǎng)絡(luò)管理員負(fù)責(zé)監(jiān)督網(wǎng)絡(luò)安全系統(tǒng)的安裝,根據(jù)需要實(shí)施網(wǎng)絡(luò)改進(jìn),以及安裝或修復(fù)硬件和軟件。
如前所述,本地人工智能可能是另一種解決方案。APM 開發(fā)人員也在研究改進(jìn)的無損壓縮方法,以確保在帶寬要求有限的情況下傳輸高質(zhì)量數(shù)據(jù)。嵌入式系統(tǒng)開發(fā)人員需要繼續(xù)研究更有效的板載數(shù)據(jù)壓縮算法。
使用人工智能和機(jī)器學(xué)習(xí)
近年來,人們越來越依賴人工智能和機(jī)器學(xué)習(xí)來增強(qiáng) APM。以至于 Gartner 定義了 AIOps 領(lǐng)域。AIOps 旨在將 APM 的重點(diǎn)從被動識別和糾正問題轉(zhuǎn)變?yōu)樵趩栴}發(fā)生之前主動識別問題。
此外,AIOps 應(yīng)用 AI 在識別問題后自動執(zhí)行補(bǔ)救活動。嵌入式系統(tǒng)開發(fā)人員同樣可以將 AI 視為在應(yīng)用程序級別構(gòu)建主動網(wǎng)絡(luò)攻擊識別功能的主要工具。
雖然人工智能目前用于訓(xùn)練嵌入式系統(tǒng),但大部分訓(xùn)練都是在嵌入式設(shè)備之外進(jìn)行的。遠(yuǎn)程訓(xùn)練提供更大量更高功率的處理能力,以快速處理驅(qū)動AI模型開發(fā)的大量數(shù)據(jù)。
然而,人工智能在邊緣的使用越來越多,嵌入式系統(tǒng)開發(fā)人員應(yīng)該考慮板載人工智能在本地執(zhí)行安全監(jiān)控任務(wù)的可行性。然而,由于 AI 模型的計(jì)算要求很高,嵌入式系統(tǒng)開發(fā)人員必須繼續(xù)集中精力減少傳統(tǒng) AI 方法的開銷,以便在本地環(huán)境中更好地應(yīng)用它們。
融合應(yīng)用和基礎(chǔ)設(shè)施監(jiān)控
嵌入式系統(tǒng)操作的每個方面都必須受到保護(hù),無論是在其上運(yùn)行的應(yīng)用程序的底層硬件。對單個組件監(jiān)控的依賴正在讓位于更全面的系統(tǒng)操作視圖。
應(yīng)用可觀察性原則(最好與穩(wěn)健的監(jiān)控結(jié)合使用)可以更好地全面了解實(shí)時嵌入式系統(tǒng)性能,從而更好地識別異常和潛在攻擊。
自動化
網(wǎng)絡(luò)管理員和其他 IT 專業(yè)人員幾乎不可能手動跟上現(xiàn)代網(wǎng)絡(luò)安全計(jì)劃所需的所有數(shù)據(jù)和分析。因此,自動化是未來網(wǎng)絡(luò)安全工作的重要組成部分。例如,雖然 APM 可有效評估攻擊的存在,但與自動主動識別漏洞的系統(tǒng)結(jié)合使用更為有效。
根據(jù)Cloud Defense的網(wǎng)絡(luò)安全專家 Barbara Ericson 的說法,“您可以使用傳統(tǒng)的線性漏洞掃描器或使用自適應(yīng)漏洞掃描器根據(jù)先前的經(jīng)驗(yàn)搜索特定事物。幸運(yùn)的是,如果您選擇了好的漏洞管理軟件,漏洞掃描程序可以自動化。通過自動化掃描,您將確保不斷評估您的組織是否存在新威脅,并且您不必在定期掃描上浪費(fèi)太多人力?!?/p>
嵌入式設(shè)備開發(fā)人員還必須繼續(xù)改進(jìn)自動化監(jiān)控對設(shè)備或其相關(guān)應(yīng)用程序的潛在攻擊,并針對已識別的問題實(shí)施自動糾正措施。
結(jié)論
隨著美國大力推進(jìn)基礎(chǔ)設(shè)施升級,關(guān)鍵基礎(chǔ)設(shè)施中的物聯(lián)網(wǎng)數(shù)量將呈指數(shù)級增長。而這種增加必然伴隨著網(wǎng)絡(luò)攻擊威脅的增加。嵌入式設(shè)備開發(fā)人員必須重新關(guān)注在船上實(shí)施新穎的網(wǎng)絡(luò)安全控制,以確保關(guān)鍵基礎(chǔ)設(shè)施的可靠性和安全性。
審核編輯 黃昊宇
-
嵌入式
+關(guān)注
關(guān)注
5082文章
19126瀏覽量
305302 -
監(jiān)控
+關(guān)注
關(guān)注
6文章
2208瀏覽量
55209 -
物聯(lián)網(wǎng)安全
+關(guān)注
關(guān)注
1文章
111瀏覽量
17238 -
應(yīng)用程序
+關(guān)注
關(guān)注
37文章
3268瀏覽量
57715
發(fā)布評論請先 登錄
相關(guān)推薦
評論