物聯(lián)網(wǎng)設(shè)備制造商和企業(yè)重新考慮物聯(lián)網(wǎng)安全的時(shí)機(jī)已經(jīng)到來(lái)

在物聯(lián)網(wǎng)部署的早期階段，安全性是一個(gè)低優(yōu)先級(jí)的考慮因素，尤其是面向消費(fèi)者的工具方面，而且事情并沒(méi)有發(fā)生太大變化，因此安全性通常落后物聯(lián)網(wǎng)產(chǎn)品的上市速度。但隨著越來(lái)越多的物聯(lián)網(wǎng)設(shè)備遭遇黑客攻擊，以及物聯(lián)網(wǎng)安全立法的推出，物聯(lián)網(wǎng)設(shè)備制造商和企業(yè)重新考慮物聯(lián)網(wǎng)安全的時(shí)機(jī)已經(jīng)到來(lái)。

黑客攻擊物聯(lián)網(wǎng)設(shè)備的事件在新聞報(bào)道中屢見(jiàn)不鮮。更新、風(fēng)險(xiǎn)評(píng)估、黑客都是防范物聯(lián)網(wǎng)設(shè)備風(fēng)險(xiǎn)的關(guān)鍵因素。

在物聯(lián)網(wǎng)部署的早期階段，安全性是一個(gè)低優(yōu)先級(jí)的考慮因素，尤其是面向消費(fèi)者的工具方面，而且事情并沒(méi)有發(fā)生太大變化，因此安全性通常落后物聯(lián)網(wǎng)產(chǎn)品的上市速度。但隨著越來(lái)越多的物聯(lián)網(wǎng)設(shè)備遭遇黑客攻擊，以及物聯(lián)網(wǎng)安全立法的推出，物聯(lián)網(wǎng)設(shè)備制造商和企業(yè)重新考慮物聯(lián)網(wǎng)安全的時(shí)機(jī)已經(jīng)到來(lái)。

獨(dú)立安全評(píng)估機(jī)構(gòu)ISE公司人事關(guān)系主管Lisa Green表示，“如今面臨的最大挑戰(zhàn)之一是，安全性在許多物聯(lián)網(wǎng)設(shè)備中仍然是事后的想法，在設(shè)計(jì)過(guò)程中沒(méi)有考慮到。為了正確地保護(hù)物聯(lián)網(wǎng)設(shè)備，制造商應(yīng)該開(kāi)始思考并理解惡意對(duì)手的動(dòng)機(jī)?！?/p>

然而，現(xiàn)在由于廣為人知的網(wǎng)絡(luò)攻擊越來(lái)越多，企業(yè)開(kāi)始從源自DevOps和DevSecOps原則的軟件開(kāi)發(fā)生命周期方法中解決物聯(lián)網(wǎng)設(shè)備面臨的黑客挑戰(zhàn)。這其中包括將安全專(zhuān)業(yè)人員嵌入開(kāi)發(fā)團(tuán)隊(duì)進(jìn)行更全面地安全測(cè)試，并允許加密的安全更新立即被推送到受感染的設(shè)備。

考慮物聯(lián)網(wǎng)設(shè)備的攻擊面

假設(shè)物聯(lián)網(wǎng)設(shè)備都是完全的并不現(xiàn)實(shí)。盡管很多組織盡最大努力識(shí)別和修復(fù)安全漏洞，但黑客們?nèi)詫⒗^續(xù)為了樂(lè)趣和利益而進(jìn)行攻擊。物聯(lián)網(wǎng)設(shè)備本質(zhì)上是相互連接的，使其成為各種網(wǎng)絡(luò)攻擊者的攻擊目標(biāo)。當(dāng)物聯(lián)網(wǎng)設(shè)備被用于保護(hù)汽車(chē)、打開(kāi)門(mén)鎖或運(yùn)行工業(yè)設(shè)備時(shí)，就會(huì)增加更大的風(fēng)險(xiǎn)。

分布式天氣預(yù)報(bào)服務(wù)商Understory公司首席執(zhí)行官Alex Kubicek說(shuō)，“計(jì)算能力和資源是物聯(lián)網(wǎng)安全的最大挑戰(zhàn)?！奔用?、防火墻和其他保護(hù)需要計(jì)算周期，而且在很多時(shí)候，嵌入式系統(tǒng)已經(jīng)達(dá)到了資源限制。另外，在許多情況下，企業(yè)無(wú)法通過(guò)物理方式訪問(wèn)硬件。這會(huì)使確定的問(wèn)題變得更具挑戰(zhàn)性，尤其是在設(shè)備被攻擊的情況下。Kubicek表示，與消費(fèi)者物聯(lián)網(wǎng)部署相比，這在工業(yè)物聯(lián)網(wǎng)中更為嚴(yán)重。

行業(yè)領(lǐng)先的軟件開(kāi)發(fā)組織意識(shí)到，通過(guò)將安全專(zhuān)家嵌入軟件開(kāi)發(fā)團(tuán)隊(duì)，他們可以縮短開(kāi)發(fā)周期，可以減少物聯(lián)網(wǎng)設(shè)備被黑客攻擊的可能性。這些專(zhuān)家可以評(píng)估黑客可能危及物聯(lián)網(wǎng)設(shè)備的各種潛在攻擊面，而不是等到測(cè)試安全性結(jié)束。這可能包括物理危害，例如禁用安全設(shè)備或更換芯片；本地網(wǎng)絡(luò)危害，即通過(guò)假冒車(chē)主打開(kāi)車(chē)門(mén)；或耗電攻擊。

計(jì)劃更新

Independent Security Evaluators公司安全評(píng)估員Lisa Green表示，安全研究人員通過(guò)人工查看每個(gè)環(huán)節(jié)非常重要，以免錯(cuò)過(guò)評(píng)估每個(gè)可能的攻擊點(diǎn)。

最引人注目的物聯(lián)網(wǎng)攻擊事例之一是Mirai，它看到對(duì)手攻擊物聯(lián)網(wǎng)設(shè)備(如安全攝像頭)，形成迄今為止最大的僵尸網(wǎng)絡(luò)之一。它利用物聯(lián)網(wǎng)設(shè)備始終連接的特性來(lái)發(fā)起破壞活動(dòng)。美國(guó)聯(lián)邦調(diào)查局表示，這是兩名黑客采用一個(gè)小型的Minecraft游戲服務(wù)發(fā)起攻擊的，但它是如此成功，以至于推出點(diǎn)擊欺詐即服務(wù)活動(dòng)，并中斷了一些世界上最具彈性的知名網(wǎng)站(如Netflix、Twitter和Reddit)的流量。

物聯(lián)網(wǎng)設(shè)備制造商可以從這次攻擊中吸取的最重要的教訓(xùn)之一是，即使有計(jì)劃良好的安全措施，其后門(mén)仍可能招來(lái)網(wǎng)絡(luò)攻擊者，這一點(diǎn)至關(guān)重要。在Mirai的案例中，許多物聯(lián)網(wǎng)設(shè)備從未打過(guò)補(bǔ)丁。例如，黑客采用一個(gè)名為BrickerBot的Mirai代碼進(jìn)行自動(dòng)修改，以永久禁用受損的物聯(lián)網(wǎng)設(shè)備。因此，物聯(lián)網(wǎng)設(shè)備制造商從未有機(jī)會(huì)更新他們的設(shè)備并保持他們良好的品牌形象。

向現(xiàn)場(chǎng)設(shè)備發(fā)送安全補(bǔ)丁并不像使用定義良好的身份和訪問(wèn)管理基礎(chǔ)設(shè)施在AWS云平臺(tái)上修補(bǔ)Web服務(wù)器那么簡(jiǎn)單。物聯(lián)網(wǎng)設(shè)備制造商需要確保通過(guò)加密更新發(fā)送補(bǔ)丁，以降低黑客發(fā)送自己的虛假補(bǔ)丁的風(fēng)險(xiǎn)。

此外，設(shè)備制造商必須確保有方法遠(yuǎn)程輕松地進(jìn)行通信和更新設(shè)備。Kubicek說(shuō)，有許多可以與物聯(lián)網(wǎng)一起使用的DevOps工具，例如SaltStack。這些工具可以輕松地在遠(yuǎn)程物聯(lián)網(wǎng)設(shè)備上快速應(yīng)用關(guān)鍵補(bǔ)丁，并確保每臺(tái)設(shè)備都得到更新。

物聯(lián)網(wǎng)制造商需要有一種功能性的方式來(lái)更新所有已部署的設(shè)備，并且安全更新需要迅速實(shí)施，以最大限度地減少客戶(hù)易受攻擊的時(shí)間。從構(gòu)建到設(shè)計(jì)階段的整個(gè)過(guò)程中，安全流程應(yīng)該在設(shè)備上市發(fā)布期間以及發(fā)布后提供支持。“在發(fā)布新的更新或發(fā)現(xiàn)新的威脅載體后，可以在所有這些階段引入安全團(tuán)隊(duì)以不斷測(cè)試設(shè)備的安全性?！盙reen說(shuō)。

通過(guò)可信任的黑客團(tuán)隊(duì)進(jìn)行測(cè)試

一旦物聯(lián)網(wǎng)設(shè)備準(zhǔn)備就緒，讓一個(gè)可信任的物聯(lián)網(wǎng)設(shè)備的黑客團(tuán)隊(duì)進(jìn)行攻擊測(cè)試可能是一個(gè)好主意。這些專(zhuān)家將能夠發(fā)現(xiàn)內(nèi)部開(kāi)發(fā)團(tuán)隊(duì)和自動(dòng)安全測(cè)試工具可能遺漏的安全漏洞。

讓這些黑客使用白盒滲透測(cè)試方法來(lái)修補(bǔ)實(shí)際設(shè)備及其軟件的內(nèi)部工作方式也是一個(gè)好主意。這將使他們更容易發(fā)現(xiàn)使用黑盒測(cè)試可能難以識(shí)別的缺陷，在黑盒測(cè)試中，黑客只能以消費(fèi)者或黑客可能看到的方式訪問(wèn)設(shè)備。

Green說(shuō)，“然而這些方法需要一定程度的信任。無(wú)論如何，讓安全研究人員通過(guò)并人工查看每個(gè)部分是至關(guān)重要的，以免錯(cuò)過(guò)評(píng)估每個(gè)可能的攻擊點(diǎn)。”

開(kāi)展風(fēng)險(xiǎn)評(píng)估

對(duì)于工業(yè)企業(yè)來(lái)說(shuō)，物聯(lián)網(wǎng)設(shè)備通常是加固的現(xiàn)場(chǎng)設(shè)備，傳感器提供有限的物理訪問(wèn)。幾十年來(lái)，這些設(shè)備以監(jiān)控和數(shù)據(jù)采集或分布式控制系統(tǒng)(通常使用未加密的工業(yè)協(xié)議)的形式具有某種程度的數(shù)據(jù)訪問(wèn)。

“工業(yè)物聯(lián)網(wǎng)現(xiàn)在保證這些傳感器值可以輸入到分析模型中，無(wú)論是本地邊緣計(jì)算設(shè)備中還是云計(jì)算模型中，經(jīng)常以更高的頻率返回基于流的業(yè)務(wù)見(jiàn)解?！惫I(yè)分析服務(wù)商Arundo Analytics公司首席技術(shù)官Jeff Jensen說(shuō)。因此，這些實(shí)例中的核心安全部件涉及大量未加密的數(shù)據(jù)離開(kāi)本地站點(diǎn)，因此需要使用虛擬專(zhuān)用網(wǎng)絡(luò)、安全通信協(xié)議或使用校驗(yàn)和的應(yīng)用程序級(jí)加密。

Jensen說(shuō)，“在某些情況下，新安裝的設(shè)備使用網(wǎng)格工作、藍(lán)牙或其他無(wú)線通信方法將數(shù)據(jù)從設(shè)備移動(dòng)到網(wǎng)關(guān)。其中一些協(xié)議本身并不安全，因此必須實(shí)現(xiàn)應(yīng)用程序級(jí)加密，并由管理員進(jìn)行適當(dāng)?shù)毓芾?。在這種情況下，許多人面臨的一個(gè)關(guān)鍵問(wèn)題是物聯(lián)網(wǎng)設(shè)備黑客進(jìn)行的真實(shí)風(fēng)險(xiǎn)評(píng)估，以及它是災(zāi)難性的還是相對(duì)較低的風(fēng)險(xiǎn)?！?/p>