信息來源:Freebuf
物聯(lián)網(wǎng)在內(nèi)的網(wǎng)絡互聯(lián)服務為社會發(fā)展創(chuàng)造了機會和利益�����,而物聯(lián)網(wǎng)自身的安全卻跟不上創(chuàng)新和部署的快速步伐����。如今,網(wǎng)絡連接設備無處不在���,物聯(lián)網(wǎng)的增長和普及大大方便了人們的生活��,而隨著國家關(guān)鍵基礎設施更多的網(wǎng)絡物聯(lián)應用����,個人和國家面臨的安全威脅越來越嚴重�,而物聯(lián)網(wǎng)的安全問題也接踵而來,惡意攻擊��、信息泄露、業(yè)務中斷����、大規(guī)模網(wǎng)絡攻擊……網(wǎng)絡驅(qū)動生活,物聯(lián)網(wǎng)安全事關(guān)國家安全���。
本報告向物聯(lián)網(wǎng)設備和系統(tǒng)相關(guān)開發(fā)商�、生產(chǎn)商��、管理者及個人提供了一組安全規(guī)則建議��,以供參考�����。
1 在設計開發(fā)階段考慮安全問題
任何網(wǎng)絡連接設備都應考慮安全問題�,在設計階段的安全建設,避免了后期因安全問題帶來的潛在業(yè)務中斷和高昂重建成本����。而通過注重網(wǎng)絡設備安全性,也能為生產(chǎn)商和服務商提供市場分化機遇�。建議:
以獨特的方式設置難以破解的默認用戶名密碼。用戶從來不會修改由生產(chǎn)商提供的默認用戶名密碼�����,很容易被破解�。僵尸網(wǎng)絡操作者正是利用這些默認密碼信息掃描IoT設備,進行攻擊感染��。當然�����,強壯的安全控制應該是讓用戶具有修改禁用某些功能的權(quán)限�。
使用技術(shù)過關(guān)和經(jīng)濟可行的主流操作系統(tǒng)。許多IoT設備內(nèi)置使用了一些老版本的Linux系統(tǒng)�����,造成更新不及時��,帶來嚴重安全隱患��。
使用安全集成硬件以加強設備和安全和完整性防護�。例如,在處理器中嵌入安全集成芯片�����,并提供加密和匿名功能。
在設計中考慮系統(tǒng)和操作中斷因素�。只有了解造成設備故障的原因,才能制訂有效的安全策略����,甚至在某些可行情況下,為了減緩故障的嚴重性����,開發(fā)商應該為設備設計一種安全無損的失效模式。
2 加強安全更新和漏洞管理
即使在設計階段考慮了安全性����,但在產(chǎn)品使用后還是會發(fā)現(xiàn)一些漏洞,這些漏洞可以通過更新和漏洞管理策略來進行緩解��。對于這些緩解策略的制訂者來說�����,應該充分考慮設備故障造成的影響�����、設備運行持續(xù)性和預期維修成本。而對于生產(chǎn)商來說����,在漏洞威脅日趨嚴重的網(wǎng)絡環(huán)境中����,如果沒有部署或設置安全更新能力,可能就會面對昂貴地召回或在遺棄不管的選擇���。建議:
考慮通過網(wǎng)絡或其它自動化方式對設備進行安全加固更新��。理想情況下��,補丁應該通過加密和完整性驗證方式來自動化更新�。
考慮協(xié)調(diào)第三方供應商來進行軟件更新����,以解決和改進漏洞管理模式,確保消費者使用設備具有一整套的安全防護措施��。
開發(fā)漏洞自動化處理更新機制����。例如,在軟件工程領(lǐng)域,建立來自安全研究者和黑客社區(qū)的漏洞報告實時信息獲取機制�,這對軟件開發(fā)人員或后期維護人員來說都能得到及時的信息反饋和響應。
制訂一個漏洞協(xié)調(diào)披露和處理政策���。該政策應該涉及開發(fā)商�����、生產(chǎn)商���、服務商和應急響應組織(CSIRT),通過應急響應組織���,如US-CERT�、ICS-CERT提供的漏洞報告進行定期的漏洞分析和預警��。
針對物聯(lián)網(wǎng)設備制訂一個使用期限策略�����。IoT設備不可能進行無限期的更新和升級����,開發(fā)人員應了解生產(chǎn)商和消費者期望���,考慮設備使用期限問題,并明確超出使用期限帶來的安全風險�����。
3 建立一套公認的安全操作方法
許多針對傳統(tǒng)IT和網(wǎng)絡安全的操作實踐可以應用于IoT領(lǐng)域�,這些方法可以幫助識別漏洞、檢測合規(guī)性����、響應預警和快速恢復��。建議:
實踐基本的軟件安全和網(wǎng)絡安全做法���,并通過適配��、靈活和創(chuàng)新的方式應用于IoT生態(tài)系統(tǒng)�。
參考相關(guān)部門的具體實踐指導��。一些聯(lián)邦部門制訂有相關(guān)安全實踐條例�,如國家高速公路交通安全管理局(NHTSA)發(fā)布的《現(xiàn)代汽車網(wǎng)絡安全最佳實踐指南》、FDA發(fā)布的《醫(yī)療設備網(wǎng)絡安全的售后管理》��。
執(zhí)行深度防御。開發(fā)商和生產(chǎn)商應該采用分層防御和用戶級別威脅考慮的整體安全防護策略��,當某些更新升級失效時���,這能很好地發(fā)揮作用��。
加入漏洞信息共享平臺�����,積極通報漏洞���,及時接收第三方安全預警。信息共享平臺是提高安全風險意識的關(guān)鍵工具��。如DHS和其下屬的國家網(wǎng)絡安全通信協(xié)調(diào)中心(NCCIC)等�����。
4 優(yōu)先考慮造成潛在影響的安全措施
不同的IoT系統(tǒng)有著不同的風險模型���,如工業(yè)用戶和零售用戶所考慮的風險不同�,而且不同用戶設備造成的安全故障后果也不盡相同�����,而破壞、數(shù)據(jù)泄露����、惡意攻擊等行為將導致潛在的嚴重后果,應該給予重視�。建議:
了解設備的預期用途和使用環(huán)境。這將有助于開發(fā)商和生產(chǎn)商考慮IoT設備的技術(shù)特點����、運行機制和必要的安全措施。
以黑客和攻擊者視角建立“紅隊”操作模式���,針對應用層、網(wǎng)絡層����、數(shù)據(jù)層和物理層進行安全分析測試,由此產(chǎn)生的最終結(jié)果和相關(guān)緩解策略有助于優(yōu)先針對某些薄弱地方增加安全措施����。
對接入網(wǎng)絡的設備進行識別認證,尤其是針對工業(yè)和商業(yè)領(lǐng)域�����。引入安全認證功能,將使關(guān)鍵和重要領(lǐng)域用戶對其組織架構(gòu)內(nèi)的設備和服務進行有效控制管理�。
5 促進整個物聯(lián)網(wǎng)生命周期的透明度
開發(fā)商和生產(chǎn)商應該了解其組織外部供應鏈使用或提供的軟硬件相關(guān)漏洞情況。大多數(shù)時候�,因為在開發(fā)和生產(chǎn)過程中忽略了供應鏈過程和產(chǎn)品的安全評估,一些代成本��、易使用的軟硬件會為IoT設備帶來很大的安全隱患��。另外�,由于一些不明的開源軟件會應用于IoT設備的開發(fā)過程,更增加了由此產(chǎn)生的風險威脅��。提高安全意識可以幫助制生產(chǎn)商和工業(yè)消費者識別�����、應用安全措施或建立冗余策略���。根據(jù)不同產(chǎn)品����、開發(fā)商�����、生產(chǎn)商和服務商的可能產(chǎn)生的風險,設置適當?shù)耐{緩解和漏洞處理措施��,如更新�、產(chǎn)品召回或客戶咨詢。建議:
進行內(nèi)部或第三方供應商的端到端風險評估��。為了增加安全透明度���,開發(fā)商�����、生產(chǎn)商�����、供應商和服務商都應參風險評估過程。另外����,當供應鏈環(huán)節(jié)發(fā)生改變時,相應的安全措施也應該進行改變或調(diào)整���。
考慮建立一個關(guān)于漏洞報告的公開披露機制��,如漏洞眾測模式的賞金計劃等�。
在供應商和生產(chǎn)商之間采用明細的設備部件使用清單,以共建信任機制����。一份明細清單對IoT生態(tài)系統(tǒng)的風險管理和威脅處理非常有用。
6 謹慎接入互聯(lián)網(wǎng)
在工業(yè)環(huán)境和其它關(guān)鍵應用領(lǐng)域的物聯(lián)網(wǎng)用戶�,應審慎考慮是否需要把IoT設備接入網(wǎng)絡,并清楚由此導致的中斷和其它安全風險�����。在當前復雜的網(wǎng)絡環(huán)境中����,任何物聯(lián)網(wǎng)設備在其生命周期內(nèi)都有可能會遭到破壞,物聯(lián)網(wǎng)設備開發(fā)商����、生產(chǎn)商和消費者應該了解相關(guān)設備被破壞和中斷對主要功能和業(yè)務運營造成的影響。建議:
建議IoT用戶明確任何網(wǎng)絡連接性質(zhì)和目的����。如工業(yè)控制等一些關(guān)鍵環(huán)境使用的IoT設備沒必要接入網(wǎng)絡�����。
配置替代性連接方案�。為了加強深度防御策略���,在不接入互聯(lián)網(wǎng)的情況下�,可以選擇配置接入本地網(wǎng)絡進行關(guān)鍵信息收集和評估�。具體參考:https://ics-cert.us-cert.gov/recommended_practices
在一些選擇性連接方案中,允許生產(chǎn)商����、服務商和用戶禁用特定端口和連接功能。針對不同IoT設備用途���,設置用戶端指導和控制方案�����。
