在最近的一次安全會(huì)議上，一位白帽黑客惡意地向心臟起搏器注入 830V 電擊，只需在最遠(yuǎn) 15.24 米的距離使用筆記本電腦即可。不用說，這種攻擊的“現(xiàn)實(shí)世界影響”可能是致命的。有人聲稱，黑客可以輕松擴(kuò)展此類攻擊，以增加對裝有心臟起搏器的患者的致命影響。最新一代的心臟起搏器基本上由聯(lián)網(wǎng)的植入式物聯(lián)網(wǎng) (IoT) 設(shè)備組成。無論哪個(gè)行業(yè)，任何物聯(lián)網(wǎng)設(shè)備中的安全漏洞都會(huì)引起嚴(yán)重關(guān)注。

網(wǎng)絡(luò)連接使物聯(lián)網(wǎng)產(chǎn)品暴露于新的攻擊媒介。2016 年針對 Dyn 域名系統(tǒng) (DNS) 服務(wù)器的臭名昭著的分布式拒絕服務(wù) (DDoS) 攻擊展示了攻擊者如何將不安全的物聯(lián)網(wǎng)設(shè)備武器化為物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)。互聯(lián)“事物”的網(wǎng)絡(luò)物理特征進(jìn)一步提高了保護(hù)它們的門檻。

為什么安全對于網(wǎng)絡(luò)物理系統(tǒng)如此重要？

網(wǎng)絡(luò)物理系統(tǒng) (CPS) 是指任何直接與物理環(huán)境交互的網(wǎng)絡(luò)連接產(chǎn)品。網(wǎng)絡(luò)物理系統(tǒng)的例子包括：

連接的可穿戴設(shè)備（例如健身監(jiān)視器）

植入式裝置（例如起搏器）

自動(dòng)駕駛汽車

工業(yè)機(jī)器人

燃?xì)廨啓C(jī)

與私有或公共網(wǎng)絡(luò)的網(wǎng)絡(luò)連接擴(kuò)大了它們的攻擊面。攻擊者可以遠(yuǎn)程連接并利用 CPS 中的漏洞，并將其用作造成重大物理損壞的工具。2010 年，臭名昭著的 Stuxnet 蠕蟲病毒感染了工業(yè)控制系統(tǒng)并操縱傳感器反饋到控制器的繼電器，最終損壞了伊朗核電站的 984 臺(tái)濃縮鈾離心機(jī)。因此，CPS 的安全漏洞不僅僅是數(shù)據(jù)或聲譽(yù)的丟失；它還意味著環(huán)境破壞、生命損失，因此涉及道德、法律和倫理后果。

保護(hù)物聯(lián)網(wǎng)產(chǎn)品的獨(dú)特挑戰(zhàn)

設(shè)計(jì)人員可以輕松查明任何傳統(tǒng)獨(dú)立系統(tǒng)與物聯(lián)網(wǎng)產(chǎn)品之間威脅模型的巨大差異。物聯(lián)網(wǎng)產(chǎn)品總是作為互聯(lián)生態(tài)系統(tǒng)的一部分運(yùn)行，甚至像智能發(fā)電公用事業(yè)一樣作為“系統(tǒng)中的系統(tǒng)”運(yùn)行，這使得它們的安全態(tài)勢具有獨(dú)特的挑戰(zhàn)性。

除了物聯(lián)網(wǎng)端點(diǎn)本地硬件和軟件的固有安全漏洞外，我們還必須考慮其操作環(huán)境、網(wǎng)絡(luò)連接以及與第三方平臺(tái)和系統(tǒng)的互操作性所引發(fā)的漏洞。

運(yùn)行環(huán)境

與傳統(tǒng) PC 不同，物聯(lián)網(wǎng)產(chǎn)品將計(jì)算與特定領(lǐng)域的操作融合在一起。例如，工業(yè)機(jī)器人除了嵌入式計(jì)算和存儲(chǔ)功能外，還在工業(yè)環(huán)境中執(zhí)行特定領(lǐng)域的功能。

物聯(lián)網(wǎng)產(chǎn)品運(yùn)行的環(huán)境帶來了某些獨(dú)特的安全挑戰(zhàn)：

不同的安全優(yōu)先級(jí)：IT 安全實(shí)踐側(cè)重于數(shù)據(jù)機(jī)密性、完整性和系統(tǒng)可用性。在操作環(huán)境中；但是，優(yōu)先保護(hù)地點(diǎn)、人員和流程。因此，應(yīng)用于物聯(lián)網(wǎng)的標(biāo)準(zhǔn) IT 安全實(shí)踐即使不能提高其安全性和可靠性要求，也必須保持不變。

網(wǎng)絡(luò)安全能力不足：2017 年 9 月，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組 (ICS-CERT) 發(fā)現(xiàn)美國醫(yī)院使用的注射器輸液泵存在多個(gè)安全漏洞。其中大部分與使用硬編碼或出廠默認(rèn)安全憑證有關(guān)。用戶和操作人員并不總是網(wǎng)絡(luò)安全專家，因此無法檢測和防范這些缺陷。

及時(shí)打補(bǔ)丁：提供軟件和固件更新，解決安全漏洞。在工業(yè)環(huán)境中；但是，定期打補(bǔ)丁并不常見。此外，在許多情況下，固件升級(jí)可能需要暫時(shí)停用物聯(lián)網(wǎng)產(chǎn)品。

系統(tǒng)限制：許多物聯(lián)網(wǎng)產(chǎn)品（例如傳感器和執(zhí)行器）的內(nèi)存和 CPU 占用空間較小，這限制了它們的嵌入式安全功能。

網(wǎng)絡(luò)連接

連通性將原本“安全”的產(chǎn)品暴露在網(wǎng)絡(luò)入侵的影響之下。2014 年，查理·米勒 (Charlie Miller) 和克里斯·瓦拉塞克 (Chris Valasek) 利用其軟件缺陷，遠(yuǎn)程讓一輛在高速公路上全速行駛的聯(lián)網(wǎng)車輛完全停止。要閱讀他們的完整報(bào)告，請參閱他們題為Remote Exploitation of an Unaltered Passenger Vehicle的文章。

信息安全設(shè)計(jì)主要依賴于使用防火墻和分區(qū)的邊界保護(hù)。物聯(lián)網(wǎng)產(chǎn)品中越來越多地使用無線電技術(shù)和無線技術(shù)，使它們很容易成為遠(yuǎn)程攻擊的目標(biāo)。未加密的數(shù)據(jù)通信也是物聯(lián)網(wǎng)妥協(xié)的主要原因。

第三方互操作性

任何物聯(lián)網(wǎng)解決方案都涉及多個(gè)技術(shù)、配置和協(xié)議服務(wù)提供商。這會(huì)導(dǎo)致更復(fù)雜、不均衡的安全合規(guī)性以及攻擊面的增加。基于訂閱的模型增加了對第三方供應(yīng)商進(jìn)行設(shè)備配置、管理和操作的依賴，從而暴露了新的攻擊向量。

保護(hù) IoT 產(chǎn)品的 4 層方法

物聯(lián)網(wǎng)安全需要超越傳統(tǒng)的網(wǎng)絡(luò)安全措施來克服這些挑戰(zhàn)。包含邊緣到云端工作流程的物聯(lián)網(wǎng)安全全棧方法至關(guān)重要。物聯(lián)網(wǎng)系統(tǒng)設(shè)計(jì)的 4 層安全模型可以減輕獨(dú)特的風(fēng)險(xiǎn)。

可靠的端點(diǎn)設(shè)計(jì)

由于它們與物理環(huán)境直接交互，因此非常需要防篡改設(shè)計(jì)。非默認(rèn)用戶名/密碼或公鑰基礎(chǔ)設(shè)施 (PKI) 證書等合適的憑據(jù)可以限制未經(jīng)授權(quán)的設(shè)備訪問和操作。需要考慮的其他一些安全設(shè)計(jì)措施：

基于可信平臺(tái)模塊 (TPM) 的信任根

初始化和啟動(dòng)過程的完整性

提供安全固件和軟件更新

存儲(chǔ)和傳輸中數(shù)據(jù)的完整性

選擇安全的實(shí)時(shí)操作系統(tǒng) (RTOS) 和容器化的故障隔離可以在運(yùn)行時(shí)保護(hù)端點(diǎn)。

安全網(wǎng)絡(luò)訪問

由于物聯(lián)網(wǎng)運(yùn)營的獨(dú)特挑戰(zhàn)，設(shè)計(jì)思維需要設(shè)想并深入分析以下用例場景：

訪問方法

產(chǎn)品用途

數(shù)據(jù)通訊

邊角案例

這直接導(dǎo)致開發(fā)網(wǎng)絡(luò)連接的威脅模型，并讓我們了解如何：

保護(hù)訪問端口

在存儲(chǔ)和傳輸過程中加密數(shù)據(jù)

使用隧道

保護(hù)協(xié)議

在網(wǎng)絡(luò)邊界實(shí)施深度數(shù)據(jù)包檢測

無線和射頻是物聯(lián)網(wǎng)連接的主要選擇，通常更容易受到攻擊。但是，您可以通過以下方式降低連接風(fēng)險(xiǎn)：

通過訪問和身份控制強(qiáng)制執(zhí)行網(wǎng)絡(luò)訪問憑證

啟用常見物聯(lián)網(wǎng)協(xié)議的內(nèi)置安全功能，例如：

消息隊(duì)列遙測傳輸 (MQTT)

受限應(yīng)用協(xié)議 (CoAP)

Zigbee?

傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議 (TCP/IP)

基于合規(guī)性的設(shè)計(jì)

雖然合規(guī)性并不等同于安全，但合規(guī)性設(shè)計(jì)可以最大限度地減少漏洞。與信息安全不同，物聯(lián)網(wǎng)安全除了數(shù)據(jù)完整性、隱私性和可用性外，還涉及安全性、可靠性和彈性。換句話說，如果發(fā)生漏洞，系統(tǒng)必須設(shè)計(jì)為謹(jǐn)慎地過渡到穩(wěn)定的故障狀態(tài)，并將對周圍環(huán)境的影響降到最低。對于全速行駛的自動(dòng)駕駛汽車，故障應(yīng)該小心地讓它停下來。這就是為什么除了網(wǎng)絡(luò)安全標(biāo)準(zhǔn)——聯(lián)邦信息處理標(biāo)準(zhǔn) (FIPS)、ISO 27001、美國國家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST) SP 800 等——系統(tǒng)設(shè)計(jì)需要交織遵守行業(yè)特定法規(guī)——例如，健康保險(xiǎn)流通與責(zé)任 (HIPAA)，交通部 (DOT)。

云和應(yīng)用程序安全

基于云的配置、設(shè)備管理以及數(shù)據(jù)和應(yīng)用程序托管是任何物聯(lián)網(wǎng)產(chǎn)品部署的核心。許多物聯(lián)網(wǎng)產(chǎn)品在軟件即服務(wù) (SaaS) 上運(yùn)行，其中第三方托管軟件層。盡管系統(tǒng)設(shè)計(jì)人員可能會(huì)或可能不會(huì)直接控制基于云的服務(wù)中的安全實(shí)施，但仍然必須根據(jù)產(chǎn)品文檔中明確列舉的某些云安全標(biāo)準(zhǔn)和最佳實(shí)踐來構(gòu)建部署。

結(jié)論

互聯(lián)產(chǎn)品是我們行業(yè)的未來。在不斷變化的威脅環(huán)境中，物聯(lián)網(wǎng)的網(wǎng)絡(luò)物理特性增加了安全挑戰(zhàn)。一旦您確定了挑戰(zhàn)，本博客中討論的 4 層方法提供了一種有條不紊的方法來降低風(fēng)險(xiǎn)。

關(guān)鍵點(diǎn)：

物聯(lián)網(wǎng)安全不僅僅是數(shù)據(jù)或聲譽(yù)的損失，它還意味著環(huán)境破壞、生命損失，并涉及道德、法律和倫理后果。

物聯(lián)網(wǎng)產(chǎn)品作為互聯(lián)生態(tài)系統(tǒng)的一部分運(yùn)行，這使得它們的安全狀況具有獨(dú)特的挑戰(zhàn)性。

用于減輕威脅的 IoT 系統(tǒng)設(shè)計(jì)的 4 層安全模型涉及可靠的端點(diǎn)設(shè)計(jì)、安全的網(wǎng)絡(luò)訪問、基于合規(guī)性的設(shè)計(jì)以及云和應(yīng)用程序安全。

Sravani Bhattacharjee 擔(dān)任數(shù)據(jù)通信技術(shù)專家已有 20 多年。她是《實(shí)用工業(yè)物聯(lián)網(wǎng)安全》一書的作者，這是第一本關(guān)于工業(yè)物聯(lián)網(wǎng)安全的書籍。直到 2014 年，作為思科的技術(shù)領(lǐng)導(dǎo)者，Sravani 領(lǐng)導(dǎo)了多個(gè)企業(yè)云/數(shù)據(jù)中心解決方案的架構(gòu)規(guī)劃和產(chǎn)品路線圖。作為 Irecamedia.com 的負(fù)責(zé)人，Sravani 目前與工業(yè)物聯(lián)網(wǎng)創(chuàng)新者合作，通過制作各種編輯和技術(shù)營銷內(nèi)容來推動(dòng)意識(shí)和業(yè)務(wù)決策。Sravani 擁有電子工程碩士學(xué)位。她是 IEEE 物聯(lián)網(wǎng)分會(huì)的成員、作家和演講者。

審核編輯黃宇