物聯(lián)網(wǎng)時代更需要安全護航
發(fā)布時間:2017-10-31
物聯(lián)網(wǎng)催生出許多創(chuàng)新商業(yè)模式和應用�����,同時也會引發(fā)一些新的安全和隱私問題,那么���,我們?nèi)绾尾拍芊阑加谖慈?
物聯(lián)網(wǎng)時代已經(jīng)來臨
高德納咨詢公司(Gartner)的數(shù)據(jù)顯示���,到 2020 年,互聯(lián)設備(不含個人電腦���、智能手機和平板電腦)總數(shù)將達到 260 億臺��。物聯(lián)網(wǎng)產(chǎn)品和服務供應商將創(chuàng)造超過 3000 億美元的增量收入�����。
過去幾年間�����,零售商通過互聯(lián)設備推廣新產(chǎn)品和服務�,從而接觸到更多的消費者。消費者則使用互聯(lián)的醫(yī)療和健身設備���,監(jiān)控并交換鍛煉數(shù)據(jù)和生命體征數(shù)據(jù)���。隨著智能家電的種類日益增多,家居生活也變得越來越智能�����。
與此類似的是�,工業(yè)企業(yè)也在通過物聯(lián)網(wǎng)為其供應鏈和設備提供支持。與其他領域的物聯(lián)網(wǎng)應用不同����,工業(yè)物聯(lián)網(wǎng)包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)(Supervisory Control and Data Acquisition,簡稱 SCADA)等工業(yè)控制流程�����,該系統(tǒng)的控制范圍涵蓋組裝汽車的機械噴漆和焊接系統(tǒng)�����,以及發(fā)電�、煉油和天然氣配送設備����。在這些應用中�,控制系統(tǒng)從傳感器和設備網(wǎng)絡中提取數(shù)據(jù),在沒有人工干預的情況下做出決定���??梢灶A見的是,未來的工業(yè)流程將更加依賴于軟件控制的精確度,公司也將通過自動化進一步降低成本����。產(chǎn)業(yè)物聯(lián)網(wǎng)正在改變各產(chǎn)業(yè)的運營方式(見圖一)。
萬物互聯(lián)世界的安全問題
智能互聯(lián)設備在生產(chǎn)�����、生活中得到了廣泛應用�。在商務、制造����、醫(yī)療、零售和交通領域�����,智能互聯(lián)設備控制著全球大部分核心基礎設施。然而�,我們需要詳細了解各領域的安全要求和工作重點。例如�����,信息技術(shù)(Information Technology���,簡稱 IT)和運營技術(shù)(Operational Technology���,簡稱 OT)的安全要求和治理機制可能相互沖突。油氣生產(chǎn)與互聯(lián)零售或互聯(lián)汽車的運營和安全要求截然不同���。如果對不同場景下物聯(lián)網(wǎng)的安全需求不給予足夠重視的話���,事態(tài)可能迅速惡化,造成災難性后果���,正如下列場景中所描述的一樣����。
場景一,在工業(yè)控制系統(tǒng)
攻擊者可通過修改控制設置或傳感器數(shù)值�,擾亂生產(chǎn)或嚴重破壞設備,嚴重時可導致機械損毀或造成人員死亡��。因為許多工業(yè)控制系統(tǒng)(Industrial Control Systems��,簡稱 ICS)采用高度復雜精確的機制���,而這種通過軟件運行和控制機械的方式�����,為網(wǎng)絡攻擊者提供了大量可攻擊目標���。
大型 ICS 規(guī)模巨大�,安裝此類系統(tǒng)代價高昂,其使用年限通常高達20年甚至更久�����。許多組件可能十分陳舊����。如果安全人員發(fā)現(xiàn)了嚴重漏洞�����,更新生產(chǎn)系統(tǒng)通常會影響生產(chǎn)�����。如果技術(shù)人員提前多月安排維護窗口用于更新系統(tǒng)�,以避免系統(tǒng)運行中斷���,則可能導致響應緩慢����,加上成功的網(wǎng)絡攻擊可能帶來巨大影響�����,使得 ICS 成為黑客們的首選攻擊目標�����。
場景二�,互聯(lián)汽車
汽車行業(yè)長期以來一直使用計算機化系統(tǒng),即電子控制單元(Electronic Control Unit�,簡稱 ECU)����,通過傳感器和執(zhí)行器監(jiān)控并控制引擎性能和廢氣排放���。ECU 還通過牽引力控制����、防抱死制動����、電子穩(wěn)定控制、預緊式安全帶和安全氣囊的軟件控制系統(tǒng)改善汽車安全��。
目前的車載娛樂系統(tǒng)已經(jīng)實現(xiàn)與移動設備無縫整合��。連接方案和控制系統(tǒng)已經(jīng)成為現(xiàn)代汽車的一部分���,制造商日益認識到需要保障這些系統(tǒng)的安全性,尤其是對控制汽車實際運行的設備進行無線更新�。
場景三,無人飛行器
越來越多的機構(gòu)計劃利用無人飛行器(Unmanned Aerial Vehicles��,簡稱 UAV)或無人機收集難以接近或高度危險區(qū)域的數(shù)據(jù)�。
然而�,為無人機配備高分辨率相機和秘密放飛無人機的行為�����,也帶來了新的隱私方面的擔憂����。UAV 越來越強的負載能力也帶來了新的安全威脅:如果載有炸藥或槍支,商用 UAV 可能變成攻擊工具��。
即使是在假設和平的應用場景中�,無人機系統(tǒng)也很容易遭到攻擊。對無人機指揮和控制系統(tǒng)的成功攻擊可能造成墜機��,通過破壞導航系統(tǒng)竊取或控制無人機����。
場景四,互聯(lián)零售
物聯(lián)網(wǎng)為企業(yè)帶來了新的價值增長點���。云計算的出現(xiàn)使得平臺即服務(Platform-as-a-Service�,簡稱 PaaS)和軟件即服務(Software-as-a-Service��,簡稱 SaaS)等構(gòu)想成為現(xiàn)實。
物聯(lián)網(wǎng)使得企業(yè)與供應商和消費者緊密聯(lián)系�,復雜的云和大數(shù)據(jù)分析可以幫助公司更深入地了解其客戶和消費者行為。換個角度���,這對于消費者隱私來說意味著什么?各實體機構(gòu)可以分析或者濫用消費者的消費行為信息�����、地址�����、甚至生物識別信息!
基于上述潛在威脅�,IT 安全高管們不僅需要關注物聯(lián)網(wǎng)環(huán)境下的新興安全挑戰(zhàn)���,還應積極思考�����,如何將安全保障與工作流程和產(chǎn)品生命周期管理結(jié)合起來����。圖二為我們展示了一個高級物聯(lián)網(wǎng)架構(gòu)�����,并簡單介紹攻擊者攻擊物聯(lián)網(wǎng)各部分的方式�。
物聯(lián)網(wǎng)時代的安全挑戰(zhàn)
物聯(lián)網(wǎng)涉及領域廣泛,消費者和企業(yè)都難以及時掌握安全威脅信息���。事實上��,企業(yè)面臨若干安全挑戰(zhàn)���。
運營安全
物聯(lián)網(wǎng)同時連接了虛擬世界和現(xiàn)實世界。企業(yè)內(nèi)部建立的安全模型不一定符合現(xiàn)實世界和運營技術(shù)的要求�。
例如,在石油生產(chǎn)和互聯(lián)零售行業(yè)中�,運營技術(shù)(OT) 領域的安全和安保要求互不相同。但由于石油生產(chǎn)商需要售賣石油���,其零售和計費活動需要能為業(yè)務提供支持的信息技術(shù)(IT) 機制�����,而郵件�、歸檔���、人力資源和財務等部門則需要傳統(tǒng)業(yè)務系統(tǒng)���。
企業(yè)可以利用“CIA 三要素”(即信息的保密性�、完整性和可用性)來評估 IT 和 OT 領域之間的安全問題��。
在 IT 領域��,企業(yè)能以系統(tǒng)的可用性為代價���,保護信息的保密性和完整性——隨著移動操作系統(tǒng)和硬件平臺數(shù)量日益增長�,如果補丁在部署前沒有得到充分測試�,應用程序會出現(xiàn)故障,引發(fā)客戶不滿��。企業(yè)可能會為安全更新進行臨時維護����,而犧牲服務的可獲得性。
在 OT 領域��,可用性是重中之重��。有人認為由于這一領域的保密信息較少���,可以保密性為代價優(yōu)先確??色@得性���。然而����,OT 領域仍然存在保密信息�����。制造專業(yè)潤滑油�����、藥品甚至軟飲料都需要制造商為獲得競爭優(yōu)勢而開發(fā)的獨有配方和原料���。復雜的間諜軟件攻擊���,例如利用蜻蜓(Dragonfly)攻擊以制藥企業(yè)為目標的多段式攻擊近年數(shù)量有所上升,此種攻擊能秘密訪問 IP 和其他 OT 領域的保密信息���。
同時����,IT 領域的可用性仍然舉足輕重;視頻會議或直播服務要求企業(yè)必須保護服務的可用性,同時確保低延遲��。即使所播放的保密信息安全性高�����,一旦服務不穩(wěn)定��,業(yè)務便會迅速流失�。
在 IT 和 OT 領域中,信息的完整性也十分必要����。如同工業(yè)控制系統(tǒng)一樣,保障數(shù)據(jù)完整性是信息可用性的基礎����。IT 和 OT 領域之間復雜的運營和安全互動以及與之相關的問題,要求企業(yè)采用新的思維方式��。
然而����,適用于所有用例的“萬金油”并不存在���,企業(yè)不應認定傳統(tǒng)的防御方式足以長期抵御惡意攻擊。震網(wǎng)病毒證明零日攻擊(zero day)可以利用并竊取證書��,而高度集中的多段式攻擊策略能極其有效地攻破防御并持續(xù)躲避檢測��。
因此企業(yè)該如何探查以躲避檢測為目的的隱蔽攻擊者呢?企業(yè)可以購買計算能力和復雜算法����,通過裝載分析和模式發(fā)現(xiàn)軟件�,即時檢測惡意軟件。通過對 IT 和 OT 領域的遙測(Telemetry)數(shù)據(jù)進行非干擾式分析�����,檢測并關聯(lián)系統(tǒng)行為中的微小變化��,企業(yè)能夠設置新的安全警報���,對表明存在惡意軟件的異常行為提高警惕����,在惡意軟件達成目的之前采取行動����。
治理模式
當 OT 和 IT 系統(tǒng)融合為統(tǒng)一的平臺����,風險�、治理模式和合規(guī)行為將發(fā)生哪些變化?這種融合系統(tǒng)一旦出現(xiàn)故障,便會帶來嚴重且影響深遠的后果���。
企業(yè)只能通過設立同時適應兩種情況的安全治理模式��,才能實現(xiàn)有效的端對端安全管理��。為了達到這一目的�����,企業(yè)必須確定人員��、責任和行動安排���,也需要建立清晰的對話機制。OT和IT領域的不同要求催生了不同的術(shù)語和操作實踐�,因此有效而全面的治理模式需要結(jié)合IT和OT兩方面的經(jīng)驗,從而建立并協(xié)調(diào)綜合安全策略和事件響應機制。
以此對應的是企業(yè)組織變革的需求��,這些組織變革需求包括設立首席風險官職位��,令其負責協(xié)調(diào)IT和OT領域��,或開發(fā)更加聯(lián)合的模式����,使首席信息安全官(CISO)在制定商業(yè)決策時握有話語權(quán),從而確保將端對端安全納入首要考慮范圍���。
數(shù)據(jù)保障
企業(yè)應將數(shù)據(jù)保障也當做安全治理的必要組成部分。企業(yè)必須在數(shù)據(jù)層面采用安全方法�,在產(chǎn)品的整個生命周期(從誕生到棄用)堅持執(zhí)行數(shù)據(jù)保障策略,以此作為數(shù)據(jù)治理和應對完整性挑戰(zhàn)的潛在解決方案���。
幸運的是����,幾種以數(shù)據(jù)為中心的安全技術(shù)均以在多平臺上提供數(shù)據(jù)保護執(zhí)行策略為目的�。Voltage Security(由惠普收購),Informatica���、Protegrity 等公司專注于開發(fā)以數(shù)據(jù)能力為中心的解決方案�,例如數(shù)據(jù)分類和發(fā)現(xiàn)、數(shù)據(jù)安全策略管理����、用戶權(quán)限和活動監(jiān)控、審查和報告���,以及數(shù)據(jù)保護�����。低質(zhì)量和低保障的數(shù)據(jù)會干擾決策流程����,增加獲取洞察的總成本���。
由于企業(yè)建立了用于大規(guī)模����、高速收集和處理數(shù)據(jù)的基礎架構(gòu)��,他們同樣應該采取與之相符的數(shù)據(jù)保障和審查框架����,以配合數(shù)據(jù)擴展���。企業(yè)必須考慮使用專為大數(shù)據(jù)應用程序設計的數(shù)據(jù)質(zhì)量工具。高德納咨詢公司的魔力象限(Magic Quadrant)數(shù)據(jù)質(zhì)量工具深入介紹了當下的供應商現(xiàn)狀�,以及他們所用的工具將數(shù)據(jù)作為資產(chǎn)進行處理的能力。
隱私期望
大數(shù)據(jù)收集會引發(fā)關于隱私和保密性的新?lián)鷳n��。
遠距離讀取射頻識別(radio frequency identification�����,簡稱 RFID)標簽或低功耗藍牙(Bluetooth low energy�,簡稱 BTLE)信標(iBeacon)讓人們能夠?qū)Φ攸c或個人進行定位。此外��,黑客可以控制監(jiān)視器��、攝像頭和麥克風的設備驅(qū)動程序����,用來“監(jiān)視”個人��,獲取密碼等數(shù)據(jù)�。
在通過生物統(tǒng)計傳感器測量個人健康狀況的可穿戴技術(shù)問世之后,人們?nèi)找骊P注自己的運動和飲食需求。但絕大部分可穿戴設備尚未獲得醫(yī)療行業(yè)的認可�����。它們收集的資料不在 HIPPA 法案的保護范圍之內(nèi)�����。不受監(jiān)管的第三方獲取并分析這些數(shù)據(jù)�,從中提取關于個人身體情況的詳細隱私資料。
軟件修補
由于每天都有新的軟件漏洞出現(xiàn)�,企業(yè)需要具備更優(yōu)異的物聯(lián)網(wǎng)響應方式。與傳統(tǒng)的 IT 設備或消費者技術(shù)不同�,許多物聯(lián)網(wǎng)設備并沒有用于下載和安裝安全更新的交互界面。在消費者領域����,這種情況更加嚴重。人們會購買并安裝互聯(lián)設備�����,卻很少意識到安全和隱私問題����。
因此���,企業(yè)必須開始思考如何在互聯(lián)產(chǎn)品中建立信任基礎。顯然���,消費者缺乏安全意識不能當做不作為的借口——企業(yè)需要為互聯(lián)設備網(wǎng)絡安裝新的安全控制功能��,讓物聯(lián)網(wǎng)用例有利于用戶��,避免產(chǎn)生潛在危害�。
但對于產(chǎn)業(yè)用例而言��,為物聯(lián)網(wǎng)設備集中修補漏洞并不可行�����,因為這會導致服務中斷���。由于物聯(lián)網(wǎng)用例越發(fā)復雜�,通信協(xié)議和新的互聯(lián)設備組合要求供應商確保它們嚴格遵循安全發(fā)展實踐���。它們還需要編寫適應性強的代碼,以安全的方式處理意外或不合規(guī)的輸入���。如此一來��,終端攻擊的數(shù)量和對軟件補丁的需求便可減少����。但企業(yè)也并不可能完全擺脫需要修補軟件的情況。然而�,企業(yè)可以將網(wǎng)絡攻擊者用于訪問系統(tǒng)的隱蔽技術(shù)重新定向,并安裝作為替代型遞送模式的軟件�。
通信協(xié)議多種多樣
物聯(lián)網(wǎng)中的通信協(xié)議多種多樣,因此與采取超文本傳輸協(xié)議(HTTP)的網(wǎng)絡相比��,物聯(lián)網(wǎng)所面臨的安全問題更為嚴峻���。沒有任何一種安全協(xié)議能夠適用于所有情況��。
企業(yè)必須意識到只有當物聯(lián)網(wǎng)解決方案囊括了不同類型的協(xié)議和設備時��,安全才能通過端到端機制產(chǎn)生效用�����。安全構(gòu)架師必須直面挑戰(zhàn)���,找出每個物聯(lián)網(wǎng)通信協(xié)議所對應的且行之有效的安全機制���,并確保這些機制符合企業(yè)治理模式所規(guī)定的成本、績效和隱私要求���。
數(shù)字身份驗證
如今�����,許多物聯(lián)網(wǎng)設備依賴于硬編碼訪問密鑰���,因此容易遭受暴力攻擊和欺騙攻擊。此外�,每個系統(tǒng)的證書類型各不相同,因而在系統(tǒng)上存儲和使用證書的方法也不一樣��。而在物聯(lián)網(wǎng)系統(tǒng)中���,這些驗證問題必須加以解決��。
因此�����,企業(yè)亟需為每一個人和每一臺設備提供獨特身份的模型�����,而且這個模型必須能獨立判斷是否應該進行信息交換����。它必須能正確地識別不同的物聯(lián)網(wǎng)設備���,只有托管設備能自由訪問或連接企業(yè)網(wǎng)絡中的其他設備和應用���。
訪問管理
訪問管理領域的挑戰(zhàn)主要涉及兩個問題:“訪問主體和訪問對象是什么?”和“訪問的目的是什么?”在傳統(tǒng)的用戶訪問管理中,需要驗證用戶名(和密碼)��。
物聯(lián)網(wǎng)所面臨的挑戰(zhàn)在于:人所使用的目錄服務或應用程序用戶數(shù)據(jù)庫有通用的標準�����,而物聯(lián)網(wǎng)中的傳感器和設備并沒有類似的通用標準����。企業(yè)往往需要決定最適合每個實施步驟的方法(如基于能力的控制)。
同時安全經(jīng)理也需要再次確認最適合每個實施步驟的方法����?�;跀?shù)字身份驗證的訪問管理應采用聲明式驗證技術(shù)��,允許進行更多的動態(tài)訪問控制����。受訪系統(tǒng)應根據(jù)設備的狀態(tài)����、身份和地址,提供具體級別的授權(quán)訪問或者拒絕訪問�。
時間服務
判定“何人或何物在何時做了何事”的能力是基本的安全要求,因此時間也是安全機制的重要組成部分���。許多物聯(lián)網(wǎng)設備(如 NFC 智能卡����,NFC 即 Near Field Communication��,近場通信技術(shù))所面臨的問題是它們并不涉及時間這一概念�。因此,日志記錄系統(tǒng)需要囊括多種用于識別并關聯(lián)事件的方法��。
應對故障/網(wǎng)絡事件而設計的解決方案
企業(yè)應設計解決方案,以應對因網(wǎng)絡事件而導致的不同程度的故障����。解決方案之一便是使用適應性更強的軟件,尤其是能夠抵抗一定程度的網(wǎng)絡攻擊的自我修復軟件��,而非那些每隔一段時間就需要安裝補丁的軟件��。這種軟件的設計理念應涵蓋多種替代型安全措施����,當一種安全控制措施失效時��,可啟動“故障轉(zhuǎn)移”����,采用另一種安全措施。
換言之��,僅有一處安全漏洞并不會導致整個系統(tǒng)受損;應隨時準備好備份機制�����,應對網(wǎng)絡故障����。
如何防患于未然?
為了安全地運用新興的物聯(lián)網(wǎng)技術(shù)�,數(shù)字企業(yè)需要正確地認知周遭環(huán)境并自動對變化作出反應����。
在互聯(lián)產(chǎn)品中建立信任基礎
產(chǎn)品從構(gòu)思到制造的所有階段,都應該遵循“安全設計”原則���。在系統(tǒng)的初始配置階段����,設計師應內(nèi)置運行控件����,以驗證所有部件的行為都遵循預期運行規(guī)范。設計活動應包括對系統(tǒng)威脅和風險狀況的全面分析��。針對極有可能導致嚴重后果的威脅��,應改善相應的工程設計流程�。同時,制定應急計劃��。
在運營層面建立全新思維模式
企業(yè)需要不斷地監(jiān)控物聯(lián)網(wǎng)的運行和安全狀況��。這是大數(shù)據(jù)領域的挑戰(zhàn),因而需要大數(shù)據(jù)解決方案�����。此外�����,物聯(lián)網(wǎng)系統(tǒng)可能會包括類似系統(tǒng)的片段�。因此��,企業(yè)需要設計出能修復故障的解決方案并側(cè)重于增強系統(tǒng)的適應能力���。首先需要做的是通過機器學習和有效反應機制��,建立異常檢測能力���。
建立情境化的威脅模型
物聯(lián)網(wǎng)會催生新的商業(yè)模式,為了提高安全程序的成效���,確定業(yè)務目標和安全運行之間的聯(lián)系十分必要�����。企業(yè)應量身定制威脅模型��,其中應包括關鍵業(yè)務目標��,基礎技術(shù)構(gòu)架以及可能會損害業(yè)務的潛在威脅�����。情境化的威脅模型能對潛在的物聯(lián)網(wǎng)安全威脅進行排序����,并識別傳統(tǒng)控制方法無法應對的盲點。
吸取移動和信息物理系統(tǒng)安全經(jīng)驗
盡管物聯(lián)網(wǎng)系統(tǒng)和應用程序與移動和信息物理系統(tǒng)(Cyber-Physical Systems���,簡稱 CPS�,為嵌入式系統(tǒng))平臺有所關聯(lián)�����,但兩者并不完全相同�。即便如此,企業(yè)應從這些物聯(lián)網(wǎng)先驅(qū)者們遇見的困難和教訓中汲取經(jīng)驗����。
隱私設計(Privacy by Design)
企業(yè)可在收集數(shù)據(jù)時��,為數(shù)據(jù)集創(chuàng)建訪問和授權(quán)權(quán)限��。當移動或存儲數(shù)據(jù)時���,企業(yè)應將這些權(quán)限同時授予數(shù)據(jù)集。
追蹤并使用新標準
企業(yè)應從其他合作企業(yè)處了解新標準�����,甚至應考慮加入標準團體和小組�����,以適應如今技術(shù)創(chuàng)新日新月異的世界����。
繼續(xù)教育系統(tǒng)用戶
企業(yè)需要對用戶進行教育�,讓他們了解日益復雜的網(wǎng)絡欺詐和社會工程攻擊。過去���,工業(yè)控制系統(tǒng)的主要關注點是物理安全����。物聯(lián)網(wǎng)將改變這一策略,因為在未來���,企業(yè)將普遍采用無形設備���。但是,安全專家應及時更新物理安全控件����,為其配備防篡改技術(shù),防止物理作用觸發(fā)設備關機����。
結(jié)語
企業(yè)通常會謹慎制定網(wǎng)絡分段方案,以提高信息物理系統(tǒng)的防御能力�����。但由于物聯(lián)網(wǎng)是由大量無線傳感器網(wǎng)絡構(gòu)成的�,因此這類防護策略并不適用。相反�,企業(yè)能利用傳感器制造商和用戶的經(jīng)驗,檢測到惡意行為并攔截可疑行為���。另外�����,企業(yè)可引入相關邏輯來檢測“非常規(guī)”信息流向任何設備的情況����。企業(yè)應額外注意以下情況:當與經(jīng)過授權(quán)的設備管理點之間沒有合適的握手協(xié)議時,或者當握手來自于從未見過的源地址時�,設備固件卻收到了計劃之外的更新。
企業(yè)和用戶必須對不同領域中的端到端安全負有最終責任��。企業(yè)能使用的可信任的系統(tǒng)方法越多���,就越能保障其安全�。因為企業(yè)通常無法確保絕對安全���,所以必須隨時保持警惕,在發(fā)現(xiàn)可能的系統(tǒng)損害時快速做出反應�。在物聯(lián)網(wǎng)世界,監(jiān)控并掌握系統(tǒng)的薄弱環(huán)節(jié)�����,以及采用能力模型�����,才是最佳的應對方式。
在目前的大環(huán)境下�����,埃森哲建議各利益相關者采取以下措施�����,以便充分把握好近期出現(xiàn)的機會���,依托產(chǎn)業(yè)互聯(lián)網(wǎng)+的長期結(jié)構(gòu)轉(zhuǎn)型實現(xiàn)收入增長:
技術(shù)提供商應通過全球安全共享平臺分享最佳安全實踐�����。
公共政策制定者必須闡明并簡化其數(shù)據(jù)保護和責任政策�。
各利益相關者需要進行長期戰(zhàn)略研發(fā)合作�,以解決最基本的技術(shù)問題。
