物联网需要一个新的安全协议
对于计算而言,安全性一直以来都是端点游戏,其断点报复程序需要具有防病毒功能且具有保护服务器上的桌面程序防入侵和检测的功能,监视可疑活动并在检测到任何异常情况时发出警报。今天,端点已经发展成为连接到互联网的众多不同设备,我们称之为物联网。它们从恒温器和安全摄像头到冰箱和智能手机无处不在,但是它们不是可以运行端点保护软件的独立计算机。因此在物联网的时代,我们需要一种新的安全协议。
举个例子,Mirai僵尸网络可以利用运行过时的Linux的网络设备,如IP摄像机和家庭路由器。恶意软件通过安全漏洞(这些安全漏洞往往是由于设备默认设置导致)感染设备,可以数千个设备转变为僵尸网络。它们在去年9月和10月发起巨大的攻击,致使Twitter,Netflix,GitHub,Airbnb和Reddit等众多知名网站不得不临时关闭。 即使这样仍然有成千上万的设备容易受到损害,并且市场上还有更多的设备仍会面临攻击。
一般情况下,我们是不可能这些物联网设备上放置防病毒软件或其他恶意软件警报软件的。因为它们拥有的CPU,存储和内存等都是一些稀缺资源(配置很低,只足够运行自己功能的程序),并且在很多情况下它们也不具有操作系统。对于终端上的用户,即使设备运行的是Linux操作系统,正常下该设备也不会允许shell访问,这可能致使人们能够在设备上安装任意安全软件。例如,使用基于Linux的恒温器的时候,您不能只登录并设置防病毒和管理。相反,攻击者却可以利用攻击获取shell访问权限并安装他们自己的病毒代码。如果是设备的购买者这样做并且来安装他们自己的软件时,我们通常称为“ 越狱 ”设备,并且它可能是某些场景不可避免的选择。最后可能会出现一个市场,其中使用这些越狱方法来保护他们自己的设备。
然而,IoT操作系统的市场远远不只Linux,它还包括了Windows IoT,Zephyr,RIOT,Brillo,Nucleus RTOS等等 - 它正处于一种爆炸式增长阶段,主流用户还需要未来十年左右才可能摆脱困境。这些操作系统中的每一个都提供了一组独特的安全解决策略,当然这其实也是一种挑战。然而,提供商很少有会安装内置安全监控器。与其他任何东西一样,IoT平台“默默无闻的安全性”会一直运行,直到它消失殆尽。
如果不能保护这些物联网设备,往往会导致可怕的后果,恐怕不再是僵尸网络的如此简单。借助物联网,我们可以将故障在现实世界中表示出来。在企业中我们越来越多地将HVAC系统来连接互联网(四年前,Target对暖通空调供应商的妥协导致了Target大数据泄露)。在目标案例中,攻击者使用HVAC系统作为获取Target的网络和客户数据的渠道。对不得不使用HVAC系统的妥协可能会给攻击者一种直接干扰企业环境的方式。访问控制系统(员工刷卡或提供指纹进入办公室一类),这些系统也日益与互联网相连。很容易地可以想到,如果恶意软件控制了系统,那么它可以将人们锁在建筑物中,控制进出。
目前,物联网设备安全只有少数几种解决的策略。在多数情况下,我们无法像桌面上一样运行一个端点警报工具。
其中一个不得不面临的问题就是您可能会得到通知:您的网络摄像头的IP地址出现在IP信誉列表中,但您仍然必须找出它是哪个设备才能进行下一步该做的事情。
我们面临的挑战是我们需要尽可能对设备进行安全监控,而不是在设备上进行安全监控。但是,我们如何在这个专业的物联网环境中做到这一点呢?
评估和购买
在考虑物联网设备时,他们的安全应该成为主要关注点。由于他们的管理方式不同 - 通常受到原始供应商而非管理员的支配,安全问题甚至更重要。我们需要注意的问题包括:
- 供应商是否提供安全更新?如果是这样,他们如何进行?
- 物联网设备支持的生命周期是多长?
- 供应商设备安全的跟踪记录是什么?
- 供应商将如何通知我们更新?我们可以轻松地将它安装在一系列设备上吗?
- 该设备有哪些安全控制?其基本配置是否安全?厂商在构建设备时是否遵循任何安全指导原则?
对于像笔记本电脑和服务器这样的传统IT设备,这些都是可以直接评估的问题,因为管理员对设备安全性有很大的控制权。但是,对于物联网设备,我们将没有控制权;所以在购买之前提出这些问题显得更重要。请记住,你的网络设备可能具有很低的网络安全性,这就是你没有最高管理控制权限的风险。
隔绝
当考虑高价值资源和安全资源减少的网络时,自然的反应是将这两个组隔绝开来。它们也服务于不同的业务功能,进一步加强了隔绝传统网络和设备网络的观点。管理员应将关键的业务使用的物联网设备迁移到到他们自己的网络中来,设置这些网络设备不能被外网甚至企业的局域网访问。这些设备没有什么好理由被让人访问。这是标准的网络架构提议,但增加了与IP设备的相关性。
如果可能,隔绝应该是物理的,逻辑分段作为次要选项。物理上被隔绝的物联网设备将确保它们不能工作,除非它们连接到正确的网络并防止意外暴露于外网。利用VLAN,网络地址,路由器和防火墙可以进行逻辑上的网络隔绝,这样设备就只处于他们自己的网络中。
这种细分的目标是为了最大限度地降低安全防护措施较低的设备对网络其余部分造成的风险。在他们自己隔绝的网络中,如果他们受到攻击,这些设备将无法启用服务器和其他高价值资源。这种网络隔绝也能促进监控。
监控
管理员仍然需要相当于防火墙日志的物联网。他们需要追踪进出设备的所有流量,并查找异常的结点,并查看已尝试与设备交换的流量,或者更糟糕的是他们需要查阅设备将要尝试与哪些服务器(如用于控制僵尸网络的服务器)进行的对话。与任何日志监控工作一样,他们还需要查看日志以得到异常结点并跟踪这些特殊结点。
有一些管理设备具有非常固定的用户,我们可以将其锁定。这些是专用设备,所以他们不会做随意的事情。与笔记本电脑或服务器相比,使用物联网设备的日志要容易得多,因为它与之交谈的设备数量很少,因此您只需查找偏差。例如,与它的唯一连接应该来自一小群管理节点,而不是外部网络。物联网设备只应与少数本地系统联系。同样,它发送的流量种类也应该属于一个狭窄的范畴,例如测量数据。
这些只是临时措施。只有很多管理员可以做,而且使用者则基本上没有能力保护他们的设备,除了更改默认设置和密码用来锁定设备。我们需要一个行业来帮助解决这个问题。
行业努力
国家标准与技术研究院(NIST)去年冬天的时候制定了一个框架,试图巩固和制定物联网安全的良好指导方针。还有少数专门的联盟试图解决物联网的安全问题,但这些联盟专注于特定设备或使用状态,并且不适用于更广泛的推广应用。
还有一些令人意外的DARPA资助的研究(旨在通过查看其功耗来从外部监测物联网设备)。当物联网传感器出现尖峰或其运行异常时,就会发出安全事件警告信号。虽然这项研究还处于早期阶段,并且不太可能很快在技术上解决,但其中一些概念已经出现一段时间了,例如监视功率使用或振动。
最终我们将看到供应商提供的IoT网络安全解决方案,例如物联网防火墙。无论是基于NIST框架还是其他第三方组织(如云安全联盟和IoT安全基金会),供应商都将有相当不错的指导方针。但建立网络的复杂性对于许多管理员和大多数消费者来说仍然是一个巨大的挑战。我们不能使用默认密码或允许某些设备访问互联网。我们需要一个安全协议,结合适用于物联网的特殊用户和管理策略。
所有物联网议程网络贡献者均对其帖子的内容和准确性负责。对作者的意见并不一定表达物联网议程的想法。