为了应对盘旋于物联网安全架构周边的、日益增长的恐惧和疑虑,我们联手物联网安全公司Ardexa做了相关的研究实践,希望借此帮助那些实施物联网解决方案的企业检查其方案是否安全可靠。
开发安全性较高的端到端物联网解决方案涉及多个层级的问题,但是在物联网安全架构中,我们将这些问题归纳成四个不同的层级,包括:设备层、通信层、云端和生命周期管理。
安全的设备层
设备层是指部署物联网解决方案时所涉及到的硬件,即物理上的“事物”或产品。设计和生产设备的ODM、OEM厂商们致力于在他们的硬件和软件上同时集成更多的安全功能,以提高设备层的安全性。
重要的物联网安全架构特征
· 一些制造商正在引入安全芯片TPMs (Trusted Platform Modules,也叫可信任平台模块),因为密钥被存储在硬件中,被窃的数据无法解密,从而从根源上保护了敏感信息和凭证。(即,不是在芯片外部设置加密秘钥)
· 安全启动机制可以确保只有经过验证的软件才能在设备上运行。
· 采取物理层的安全保护措施(例如,对所有内部电路进行全金属屏蔽),这种方式下即使入侵者获得对设备的物理访问,也能够防止信息被篡改。
虽然这些“ hard identities ”或“ 物理保护屏障 ”在特定情况下可能是有价值的,但是数据移动和设备处理复杂任务的能力决定了该设备所面临的风险水平。从一开始就重视设备的边缘处理能力和复杂的安全功能是一条重要的原则。
设备层的IoT安全架构原则
原则一:设备智能化是处理复杂的、安全性要求高的任务的前提条件
目前许多可用的终端设备(比如电器、工具、玩具或配件)都能通过以太网或WiFi网络与云平台或服务器进行“沟通”,但是这些设备通常只通过一个微处理器进行驱动,它们不能处理复杂的网络连接,因此不应该用于处理物联网应用中的前端任务。
有效的、安全的连接必须由一个智能化的设备提供,这个设备需要具备加密、认证、时间戳、缓存、代理、防火墙、连接丢失等能力。设备必须具有鲁棒性,并且能够在有限的支持下进行现场操作。
原则二:边缘处理的安全优势
事实上,智能设备是一种能够自我“进化”的设备,能够随着时间的推移让自己更加强大、有用,例如:机器学习算法目前已经达到能让一些小型设备拥有处理视频流的能力,这在几年前是难以想象的,当然计算机除外。边缘处理意味着这些智能设备可以在本地处理相关的数据,而不用将数据上传到云端。
边缘计算真的可以增强设备的安全性吗?是的,绝对可以。因为边缘处理意味着敏感信息不需要上传到云端,因此在设备层处理数据有助于强化整个网络。
设备层事例及注意事项
AFIT更改PLC固件
2014年,美国空军技术研究所(AFIT)的研究人员展示了使用恶意固件启动不安全设备的可行性。他们创建了一个在工业可编程逻辑控制器(PLC)中检测不到的原型rootkit,该软件能够破坏工厂的正常运营。
设备层解决方案注意事项:
· 设备供应商是否提供rootkit恶意软件的保护
· 设备安装过程中是否易受攻击
· 设备是否定期测试恶意rootkit
· 物联网架构是否能对固件进行远程测试
· 自动化设备的常规服务程序是否会引入漏洞
· 我们是否可以检测到rootkit恶意软件
安全的通信层
通信层指的是物联网解决方案的连接网络,即安全地发送/接收数据的媒介。敏感数据能否在物理层,网络层或应用层等不安全的通信信道中传输是一个值得注意的问题,因为这些数据很可能受到诸如中间人攻击(MITM)之类的攻击形式。
重要的物联网安全架构特征
· 以数据为中心的安全解决方案能够确保数据在传输(静止)时被安全地加密,除非对方拥有正确加密密钥的用户(个人,设备,系统或应用)解锁代码,否则即使数据被拦截了也毫无用处。
· 防火墙和入侵防御系统用来检查特殊数据流(如,非IT协议),并在设备端终止它们,所以越来越多地被应用于检测入侵,同时防止通信层上的恶意活动。
通信层的物联网安全架构原则
原则三:启动与云端的连接
当防火墙端口向网络打开的瞬间就意味着设备已经面临着来自网络上的重大风险,因此通常只有在必要的情况下才打开防火墙。然而,给现场设备所提供的支持达不到与诸如web 、电子邮件或语音/视频服务器等同一程度。这些现场设备与云服务器相差甚远,它们没有管理员可进行漏洞修补、重新配置、测试和监视软件。
因此,允许设备直接连接到网络不是一个太好的主意,设备必须首先启动与云端的连接。设备连接到云端还可以促进双向信道,从而允许物联网设备被远程控制。在大多数情况下,这是非常有必要的。
与这一原则密切相关的是使用虚拟专用网络(VPN)来访问物联网设备。然而,对于物联网设备来说,使用VPN的危险性可能与允许传入服务一样危险,因为它允许个人或网络访问自己网络内的资源。目前,安全任务的规模显著增长,并且经常超出合理控制。当然,VPN在非常特殊的情况下是可以发挥作用的。
原则四:信息的固有安全
我们应该非常重视物联网设备的通信安全,无论信号是从设备端进行上传还是下载到设备端。对于物联网终端设备来说,轻量级的基于消息的协议具有许多独特的优势,是非常不错的选择,包括双重加密、排队、过滤甚至与第三方共享等。
使用正确的标签,每个消息都可以根据适当的安全策略进行处理。例如,限制 “远程控制”功能,或者仅允许在单方向上进行“文件传输”,又或者对客户数据进行双重加密。利用这种安全策略,可以控制消息流的安全传输。在物联网设备中,消息传递及其相关的访问权限设置在通信层上发挥着强大的作用。
通信层事例及注意事项
汽车遥控
2015年,两名网络安全专家通过中间人攻击的方式,对高速公路上的吉普车实现了远程控制(例如,控制空调、收音机、挡风玻璃刮水器和制动器等)。这次袭击展示了中间人攻击的危害性,也导致厂商召回了140万辆汽车。
通信层解决方案注意事项:
· 是否可以远程修补设备漏洞
· 物联网架构是否能够限制入侵者的损害程度
· 第三方测试能否发挥作用
· 如何防范“边缘”漏洞
· 大型物联网系统的各个部门之间是否存在意想不到的联系
· 安全的云服务层
云服务层是指物联网解决方案的软件后端,即来自设备的数据被大规模采集,分析和处理,用以产生洞察力并采取相应的措施。当评估一项解决方案采用云服务或者本地服务所要面临的风险时,安全性一直是讨论的核心问题。然而,对于物联网的发展来说,云服务的广泛采用是一个不容忽视的推动因素。
重要的物联网网络安全特性
· 存储在云平台上的敏感信息(即静止数据)必须加密,避免轻易受到攻击。
· 这也有利于完整地验证其他云服务或第三方应用的完整性,它们试图与你的云服务进行沟通从而达到防止恶意攻击的目的。
· 数字证书在物联网大规模识别和认证需求中发挥着关键的作用。
物联网云服务层安全原则
原则五:设备需具备识别,认证和加密功能
人们总是使用一个密码来访问云服务。在某些情况下,可能有两个验证因素,如“密码+一次密码生成器”。
然而,当访问云端服务的时候,机器在处理数字证书方面做得更好。因为数字证书使用是非对称的,加密的身份认证系统,不仅可以验证事务,还可以在身份认证发生之前将从设备到云端的通道进行加密。数字证书还可以提供加密标识,如果使用用户名/密码很难实现的相同的安全效果。
云服务层事例及注意事项
不安全的客户数据
2015年,英国的网络供应商Talk Talk遭受几个网络安全漏洞的攻击,导致未经加密存储的客户数据暴露在云端。黑客能够轻松访问和窃取数百万客户的信用卡和银行详细信息。
通信层解决方案注意事项:
· 如何选择数据存储在设备端或云端
· 哪些数据元素需要加密,加密到什么级别
· 在物联网云中使用什么类型的防火墙
· 是否有正确的商业模式来解决物联网安全隐患
生命周期管理层的安全
安全的生命周期管理是一个包罗万象的整体性层级,即确保从设备制造、安装再到物品处置,整个过程中都有足够高的安全级别。设计只是保持物联网解决方案安全的第一步,整个生命周期中还包括策略执行,定期审核和供应商控制等环节。
重要的物联网网络安全特性
· 活动监视器在跟踪,记录和检测可疑活动中起着重要的作用。
· 物联网设备和应用需要常规性的安全补丁,以便保持良好的状态,从而加强抵御攻击和修复漏洞的能力。
· 特别是在维护数十亿个物联网设备时,远程控制的安全性至关重要。
生命周期管理的安全原则
原则六:远程控制和更新的安全
远程控制功能和在设备的生命周期内向其发送命令的功能是两个非常敏感的但又非常强大的功能。可以进行远程控制的设备需要拥有诸如远程诊断、更新配置、更新出错的软件、检索文件、使用全新的数据重新设置机器学习算法、添加新功能等众多功能。安全更新和远程控制的关键是确保设备禁止接入其他连接,即使这个设备能够进行双向连接并且得到正确的保护,依然应该使用消息交换机作为通信通道并采取正确措施。这么做的结果是,设备上的软件充当本地服务器,此时它只与云端进行连接。
生命周期管理层事例及注意事项
医疗设备的不安全更新过程
2015年,一名黑客通过Hospira药物输液泵来提高给患者的药物剂量上限,导致这一问题的主要原因是不安全的库更新过程以及泵的通信模块安全性不够高。
生命周期管理解决方案注意事项:
· 维护流程是否会引入新的漏洞
· 是否设置了合适的访问权限和级别
· 软件或固件的更新是否经过数字签名或认证
总结
以上四个不同层面提出了六个重要的物联网安全架构特征,并突出强调了每个原则的重要性,总结来说物联网安全设计是非常复杂的。安全解决方案通常会由多个关键要素共同发挥作用,用以规避各种威胁或风险。从前文中提到的现实案例来看,所有的物联网解决方案通常都需要对安全进行全面的考虑。
