【涨知识】IoT“疯长”状态下,如何防范各种安全风险?
物联网(IoT)或者各种变化的名词已经充满了各大媒体的头条,各种关于车联网、可穿戴智能设备、智能家居和仪表的宣传铺天盖地。面对突然之间这么多的宣传,可能会让人认为IoT是昨天才创造出来的。其实,通过通讯网络与物理世界进行接口的机器到机器的通讯已经在我们身边存在很久了。一些外表不光鲜的设备例如工业控制系统已经运转我们的电网、石油管线以及制造业工厂数十年了。就像云计算与20世纪60-70年代的大型机分时系统概念有部分血统关系一样,IoT只不过被重新冠名了。
在媒体的簇拥下,物联网市场正经历着前所未有的快速发展时期。就像云技术和IoT在规模上比它的前几代都要大得多,而且正在快速增长。让其变得意义重大而且有点吓人的是IoT “万物互联、无处不在”的概念,这也是打动了消费者和企业的原因所在。不仅如此,更广范围的应用,也让IoT从以前鲜为人知的、专业的领域扩展到医疗保健、交通等与人们生活息息相关的领域。
IoT的界定
IoT作为广为人知的名词,主要是受媒体的大肆宣传所赐,而不是多年形成的标准过程。因此,它具有了“眼见为实”的特性。在其最基本的层面上,IoT意味着网络连接、使用嵌入(或有限的计算)设备、以及有代表性的涉及一些与物理世界的连接,例如测量温度、血压或道路震动。从本质上说,它意味着在传统上不被认定为计算机的日常设备的网络连接;然而,几乎每一个IoT的用途也都涉及一些传统的计算机用法。例如,这些小的、嵌入的设备通常报告它们的状态并从一个传统的计算机工作站、服务器、笔记本电脑或智能手机接收指令。
不将IoT看做一系列小设备,而是看做一个需要多个组件正确工作的生态系统更为妥当。看起来是正常的计算设备的支持组件仍然需要为了IoT的实时属性而进行调整,而且大量的数据经常与IoT相关联。计算机网络需要无处不在而且为数据流的容量和速度进行优化。
由于IoT仍然是一个相对新的概念,核心组件已经在工业网络中存在了数十年了,它预言了一些可能会面对的风险。工业网络已经频繁成为网络攻击的目标。不像传统的信息技术组件,它们经常更加易受攻击,因为许多工业网络从未被设计来与网络相连,而这些网络连接到一个充满敌意的互联网上。反而,那些封闭网络将物理攻击视为主要防范的攻击。
除了互联性的挑战外,例如可编程逻辑控制器(PLC)这种核心工业设备具有基本的通讯协议,如果它们接收到意外的数据就可能会崩溃。不仅如此,PLC的设计在本质上是处理收到的指令,不管是谁发给它们的,有些时候很少甚至没有经过认证。那意味着如果工业网络没有充分隔离或者得到正确的保护,很可能就会向真的实体后果妥协。
真实存在的安全威胁
一些安全攻击已经通过IoT得以实施:
■ 差不多20年以前,一位有不满情绪的前员工使用网络访问远程非法排放了污水。
■ 在2007年,研究人员演示了通过远程快速断开和接通断路器可以摧毁一台发电机。
■ 在2014年,黑客侵入一家德国钢铁厂的工业网络并阻止一台高炉停机。
■ 对于更加现代化的IoT设备攻击也在发生。一个研究人员侵入了他的胰岛素泵,另有些人试图让智能仪表妥协,在一档美国著名的电视节目“60分钟”中,美国国防部高级计划研究局的科学家们远程控制了汽车制动。
这些案例显示了想要保护数十亿个IoT设备所面临的巨大挑战。在如此大范围的网络上部署它们、将它们中的一部分直接与互联网连接将会带来很多潜在的安全隐患。
即使使用更好的网络堆栈以及更加严格的联网安全控制,但许多这类设备的本性意味着鲁棒性控制不太可能在典型的工作站、笔记本电脑、服务器或者甚至智能手机的设计中加入。控制需要以不同的方式进行评估和实施。不仅如此,这些设备的应用、位置和结构都非常地多样化。一些依赖于中央控制,而其他一些自身具有智能并且经常进行自动运行。
它们与其他联网组件连接在一起,这意味着它们有被连累的风险,有扩大感染的潜在危险,并作为一个平台为黑客攻击生态系统的其他部分服务。这是为什么由IoT造成的风险很重大,因为正常来说,这些设备所生存的网络上弥漫着一定程度的信任。是网络及其可扩展性提供了最大的承诺并为IoT带来了最大的风险。
处理IoT风险的办法
考虑到各种各样不同设备的接入以及它们对于未来网络安全性的潜在影响,什么是减少风险的最佳途径?传统的风险管理可能会指向许多方向。努力了解未来的威胁种类并发明解决它们的控制手段,对于不断扩散的新设备以及相关威胁的持续加速来说是个不错的解决方案。
另外一种方法的重点是围绕那些最具毁灭性结果的不良影响和优先次序下功夫。这是很多政府常用的处理方法,其主要的关注点在于不良影响,而不是对于特定的威胁,某个设备是多么易受攻击。尽管不良影响很重要,更重要的是首先要鉴别IoT设备到底想要做什么。以一个使用案例分析开始有助于显示出预期的商业目的是什么。如果一台设备后期被用于其它目的,风险团队可以指出其原始分析来提醒管理者需要一项新的风险分析。
建立一个风险模型
要评估IoT的风险,首先要定义其使用情况。设备及其支持基础设施会如何被使用?尽管技术描述很有用,但焦点应该集中在相关的商业过程和期望的结果上。考虑到几乎所有的项目都必须以类似的正当理由得到批准,这些信息应该不难找到。
不像基础深厚的预算编制寻求一个一般性的目标,模型所涉及的使用案例应该非常具体并且应该包括细节。这类所涉及的数据应该包括是否人会与这些设备在身体感应方面直接互动(例如健康监测设备、自动驾驶车辆、或控制系统计算机银行)、是否这些设备会与现有技术互动、以及任何有关基础设施的假设是否已经适当的完成。所有的商业目标都应该被标注,因为风险分析的任务之一是确定在黑客攻击时或其他一些设备故障时那些目标的后果。
同样重要的是为每一种变化创建一个使用案例。例如,连接一个仅仅用来测量和报告能源用量的智能仪表与还具有远程切断电源功能的仪表相比有非常不同的含义。细节很重要。决定使用案例应该具备哪些细节通常是判断的关键。
■ 图中显示了IoT软件如何与联网设备相互作用的循环,与控制工程的过程相似。图片来源:Leidos工程
确定优先次序
一旦知道了不良影响,很容易对潜在缺陷进行识别和分出优先次序。对缺陷的识别通常从检查所有的接口和潜在的攻击面开始,既有逻辑上的,也有物理上的。因为其数量通常很大,有必要将重点放在可能的、足够产生不利影响的威胁上面。例如,一个国家不太可能有兴趣收集某个人的用电信息,除非那是关于一个重要的军事基地的用电信息。
通过分析来识别出IoT风险不会停止不动。从其本质上来说,它会发展和改变来满足需求。就像道路传感器和智能仪表这样的技术不是被设计进行频繁更换的,所以软件更新和网络变化需要使用已经安装的硬件。这也意味着那些类似可升级性和可扩展性的考虑,而不是主要的网络安全的考虑会变成IoT的更大的问题。因此,未来使用和滥用的案例需要被识别出来。
类似的,扩展网络设备的结果以及那会如何导致对核心安装的过度信赖都需要被考虑。例如,处理一些自动驾驶车辆的安全性可以让一个人手动的偶尔去关照一下就可以做到了。可是,一旦几辆车增长到几千辆车,由于数据量和攻击面以指数方式增长,只是多雇点人是不行的。 既然那样,对于更大程度的范围和自动化来说,唯一的网络安全解决方案是使用网络安全自动化然后由人来监管。对其他利益相关方或外部所造成的损害也需要成为公式的一部分。
■ 图中展示了物联网的风险计算公式。图片来源:Leidos 工程
防范风险
当然,识别出风险只是迈出了第一步。IoT现象已经培育出了可以让设备从所有方面受到黑客攻击的“家庭手工业”。尽管这些攻击的潜在结果并不是总被全面认识到,很明显要充分的解决漏洞问题会是一个巨大的工作。
也许最重要的考虑是设备因为某一特定的目的而得到认同,而且如果目的变化了,风险分析和潜在的补偿控制也需要为制造商和最终用户而变化。
对于购买这些设备的个人或企业来说,缓解以及适度利用是以定义明确的使用案例开发过程开始的。对于企业来说,那应该意味着允许或禁止一个设备在特定环境下或为了特定目的使用的特别的政策。特别是指公司需要审查覆盖设备损坏以及设备滥用时带来伤害的保险。在可能和相关的情况下,应该实施某些类型的不间断地安全监控。
最终,设备的所有者们需要明白一次安全审查是不够的。由于发生在与这些设备进行通讯的任何后端基础设施上的主要变化,以及采集了新的数据类型,他们需要在设备使用范围扩大的过程中定期连续进行审查。风险管理模型需要随着每一次范围的变化而进行修改。
减少IoT风险的6个步骤
对于那些目前涉及IoT的企业用户(几乎包括每个人),不管涉及的风险或在项目上花费的金钱数量多少,应该采取6个基本行动来防范IoT可能带来的潜在风险。
1.IoT所有者需要识别当前的IoT实施是否到位、在计划中还是在预测中。这可能包括为供暖和空调或者甚至用于运行电梯(如果它们联网了)的机制建立管理系统。
2.识别任何与IoT相关的安全政策或措施。如果都不存在,公司应该至少记录已经到位的高水平控制,例如给电梯机房上锁。
3.在3个月之内,企业应该确保设备所有者已经应用了风险模型,并且与管理人员一起审查结果。
4.确定消除风险的步骤以及获取期望的状态所需要的附带成本。
5.在接下来的6个月内,企业应该识别出那些有可能影响到生产但没有控制到的IoT风险。
6.建议企业也应该参加行业协会和专业标准组织,共同推动安全标准的制定,最大限度地保护它们的设备。