保护物联网产品免受独特威胁

在最近的一次安全会议上，一位白帽黑客恶意地向心脏起搏器注入 830V 电击，只需在最远 15.24 米的距离使用笔记本电脑即可。不用说，这种攻击的“现实世界影响”可能是致命的。有人声称，黑客可以轻松扩展此类攻击，以增加对装有心脏起搏器的患者的致命影响。最新一代的心脏起搏器基本上由联网的植入式物联网 (IoT) 设备组成。无论哪个行业，任何物联网设备中的安全漏洞都会引起严重关注。

网络连接使物联网产品暴露于新的攻击媒介。2016 年针对 Dyn 域名系统 (DNS) 服务器的臭名昭著的分布式拒绝服务 (DDoS) 攻击展示了攻击者如何将不安全的物联网设备武器化为物联网僵尸网络。互联“事物”的网络物理特征进一步提高了保护它们的门槛。

为什么安全对于网络物理系统如此重要？

网络物理系统 (CPS) 是指任何直接与物理环境交互的网络连接产品。网络物理系统的例子包括：

连接的可穿戴设备（例如健身监视器）

植入式装置（例如起搏器）

自动驾驶汽车

工业机器人

燃气轮机

与私有或公共网络的网络连接扩大了它们的攻击面。攻击者可以远程连接并利用 CPS 中的漏洞，并将其用作造成重大物理损坏的工具。2010 年，臭名昭著的 Stuxnet 蠕虫病毒感染了工业控制系统并操纵传感器反馈到控制器的继电器，最终损坏了伊朗核电站的 984 台浓缩铀离心机。因此，CPS 的安全漏洞不仅仅是数据或声誉的丢失；它还意味着环境破坏、生命损失，因此涉及道德、法律和伦理后果。

保护物联网产品的独特挑战

设计人员可以轻松查明任何传统独立系统与物联网产品之间威胁模型的巨大差异。物联网产品总是作为互联生态系统的一部分运行，甚至像智能发电公用事业一样作为“系统中的系统”运行，这使得它们的安全态势具有独特的挑战性。

除了物联网端点本地硬件和软件的固有安全漏洞外，我们还必须考虑其操作环境、网络连接以及与第三方平台和系统的互操作性所引发的漏洞。

运行环境

与传统 PC 不同，物联网产品将计算与特定领域的操作融合在一起。例如，工业机器人除了嵌入式计算和存储功能外，还在工业环境中执行特定领域的功能。

物联网产品运行的环境带来了某些独特的安全挑战：

不同的安全优先级：IT 安全实践侧重于数据机密性、完整性和系统可用性。在操作环境中；但是，优先保护地点、人员和流程。因此，应用于物联网的标准 IT 安全实践即使不能提高其安全性和可靠性要求，也必须保持不变。

网络安全能力不足：2017 年 9 月，工业控制系统网络应急响应小组 (ICS-CERT) 发现美国医院使用的注射器输液泵存在多个安全漏洞。其中大部分与使用硬编码或出厂默认安全凭证有关。用户和操作人员并不总是网络安全专家，因此无法检测和防范这些缺陷。

及时打补丁：提供软件和固件更新，解决安全漏洞。在工业环境中；但是，定期打补丁并不常见。此外，在许多情况下，固件升级可能需要暂时停用物联网产品。

系统限制：许多物联网产品（例如传感器和执行器）的内存和 CPU 占用空间较小，这限制了它们的嵌入式安全功能。

网络连接

连通性将原本“安全”的产品暴露在网络入侵的影响之下。2014 年，查理·米勒 (Charlie Miller) 和克里斯·瓦拉塞克 (Chris Valasek) 利用其软件缺陷，远程让一辆在高速公路上全速行驶的联网车辆完全停止。要阅读他们的完整报告，请参阅他们题为Remote Exploitation of an Unaltered Passenger Vehicle的文章。

信息安全设计主要依赖于使用防火墙和分区的边界保护。物联网产品中越来越多地使用无线电技术和无线技术，使它们很容易成为远程攻击的目标。未加密的数据通信也是物联网妥协的主要原因。

第三方互操作性

任何物联网解决方案都涉及多个技术、配置和协议服务提供商。这会导致更复杂、不均衡的安全合规性以及攻击面的增加。基于订阅的模型增加了对第三方供应商进行设备配置、管理和操作的依赖，从而暴露了新的攻击向量。

保护 IoT 产品的 4 层方法

物联网安全需要超越传统的网络安全措施来克服这些挑战。包含边缘到云端工作流程的物联网安全全栈方法至关重要。物联网系统设计的 4 层安全模型可以减轻独特的风险。 

可靠的端点设计

由于它们与物理环境直接交互，因此非常需要防篡改设计。非默认用户名/密码或公钥基础设施 (PKI) 证书等合适的凭据可以限制未经授权的设备访问和操作。需要考虑的其他一些安全设计措施：

基于可信平台模块 (TPM) 的信任根

初始化和启动过程的完整性

提供安全固件和软件更新

存储和传输中数据的完整性

选择安全的实时操作系统 (RTOS) 和容器化的故障隔离可以在运行时保护端点。 

安全网络访问

由于物联网运营的独特挑战，设计思维需要设想并深入分析以下用例场景：

访问方法

产品用途

数据通讯

边角案例

这直接导致开发网络连接的威胁模型，并让我们了解如何：

保护访问端口

在存储和传输过程中加密数据

使用隧道

保护协议

在网络边界实施深度数据包检测

无线和射频是物联网连接的主要选择，通常更容易受到攻击。但是，您可以通过以下方式降低连接风险：

通过访问和身份控制强制执行网络访问凭证

启用常见物联网协议的内置安全功能，例如：

消息队列遥测传输 (MQTT)

受限应用协议 (CoAP)

Zigbee®

传输控制协议/互联网协议 (TCP/IP)

基于合规性的设计

虽然合规性并不等同于安全，但合规性设计可以最大限度地减少漏洞。与信息安全不同，物联网安全除了数据完整性、隐私性和可用性外，还涉及安全性、可靠性和弹性。换句话说，如果发生漏洞，系统必须设计为谨慎地过渡到稳定的故障状态，并将对周围环境的影响降到最低。对于全速行驶的自动驾驶汽车，故障应该小心地让它停下来。这就是为什么除了网络安全标准——联邦信息处理标准 (FIPS)、ISO 27001、美国国家标准与技术研究院 (NIST) SP 800 等——系统设计需要交织遵守行业特定法规——例如，健康保险流通与责任 (HIPAA)，交通部 (DOT)。

云和应用程序安全

基于云的配置、设备管理以及数据和应用程序托管是任何物联网产品部署的核心。许多物联网产品在软件即服务 (SaaS) 上运行，其中第三方托管软件层。尽管系统设计人员可能会或可能不会直接控制基于云的服务中的安全实施，但仍然必须根据产品文档中明确列举的某些云安全标准和最佳实践来构建部署。

结论

互联产品是我们行业的未来。在不断变化的威胁环境中，物联网的网络物理特性增加了安全挑战。一旦您确定了挑战，本博客中讨论的 4 层方法提供了一种有条不紊的方法来降低风险。

关键点：

物联网安全不仅仅是数据或声誉的损失，它还意味着环境破坏、生命损失，并涉及道德、法律和伦理后果。

物联网产品作为互联生态系统的一部分运行，这使得它们的安全状况具有独特的挑战性。

用于减轻威胁的 IoT 系统设计的 4 层安全模型涉及可靠的端点设计、安全的网络访问、基于合规性的设计以及云和应用程序安全。

Sravani Bhattacharjee 担任数据通信技术专家已有 20 多年。她是《实用工业物联网安全》一书的作者，这是第一本关于工业物联网安全的书籍。直到 2014 年，作为思科的技术领导者，Sravani 领导了多个企业云/数据中心解决方案的架构规划和产品路线图。作为 Irecamedia.com 的负责人，Sravani 目前与工业物联网创新者合作，通过制作各种编辑和技术营销内容来推动意识和业务决策。Sravani 拥有电子工程硕士学位。她是 IEEE 物联网分会的成员、作家和演讲者。

审核编辑 黄宇