在最近的一次安全會議上，一位白帽黑客惡意地向心臟起搏器注入 830V 電擊，只需在最遠 15.24 米的距離使用筆記本電腦即可。不用說，這種攻擊的“現(xiàn)實世界影響”可能是致命的。有人聲稱，黑客可以輕松擴展此類攻擊，以增加對裝有心臟起搏器的患者的致命影響。最新一代的心臟起搏器基本上由聯(lián)網(wǎng)的植入式物聯(lián)網(wǎng) (IoT) 設(shè)備組成。無論哪個行業(yè)，任何物聯(lián)網(wǎng)設(shè)備中的安全漏洞都會引起嚴重關(guān)注。

網(wǎng)絡(luò)連接使物聯(lián)網(wǎng)產(chǎn)品暴露于新的攻擊媒介。2016 年針對 Dyn 域名系統(tǒng) (DNS) 服務器的臭名昭著的分布式拒絕服務 (DDoS) 攻擊展示了攻擊者如何將不安全的物聯(lián)網(wǎng)設(shè)備武器化為物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)?；ヂ?lián)“事物”的網(wǎng)絡(luò)物理特征進一步提高了保護它們的門檻。

為什么安全對于網(wǎng)絡(luò)物理系統(tǒng)如此重要？

網(wǎng)絡(luò)物理系統(tǒng) (CPS) 是指任何直接與物理環(huán)境交互的網(wǎng)絡(luò)連接產(chǎn)品。網(wǎng)絡(luò)物理系統(tǒng)的例子包括：

連接的可穿戴設(shè)備（例如健身監(jiān)視器）

植入式裝置（例如起搏器）

自動駕駛汽車

工業(yè)機器人

燃氣輪機

與私有或公共網(wǎng)絡(luò)的網(wǎng)絡(luò)連接擴大了它們的攻擊面。攻擊者可以遠程連接并利用 CPS 中的漏洞，并將其用作造成重大物理損壞的工具。2010 年，臭名昭著的 Stuxnet 蠕蟲病毒感染了工業(yè)控制系統(tǒng)并操縱傳感器反饋到控制器的繼電器，最終損壞了伊朗核電站的 984 臺濃縮鈾離心機。因此，CPS 的安全漏洞不僅僅是數(shù)據(jù)或聲譽的丟失；它還意味著環(huán)境破壞、生命損失，因此涉及道德、法律和倫理后果。

保護物聯(lián)網(wǎng)產(chǎn)品的獨特挑戰(zhàn)

設(shè)計人員可以輕松查明任何傳統(tǒng)獨立系統(tǒng)與物聯(lián)網(wǎng)產(chǎn)品之間威脅模型的巨大差異。物聯(lián)網(wǎng)產(chǎn)品總是作為互聯(lián)生態(tài)系統(tǒng)的一部分運行，甚至像智能發(fā)電公用事業(yè)一樣作為“系統(tǒng)中的系統(tǒng)”運行，這使得它們的安全態(tài)勢具有獨特的挑戰(zhàn)性。

除了物聯(lián)網(wǎng)端點本地硬件和軟件的固有安全漏洞外，我們還必須考慮其操作環(huán)境、網(wǎng)絡(luò)連接以及與第三方平臺和系統(tǒng)的互操作性所引發(fā)的漏洞。

運行環(huán)境

與傳統(tǒng) PC 不同，物聯(lián)網(wǎng)產(chǎn)品將計算與特定領(lǐng)域的操作融合在一起。例如，工業(yè)機器人除了嵌入式計算和存儲功能外，還在工業(yè)環(huán)境中執(zhí)行特定領(lǐng)域的功能。

物聯(lián)網(wǎng)產(chǎn)品運行的環(huán)境帶來了某些獨特的安全挑戰(zhàn)：

不同的安全優(yōu)先級：IT 安全實踐側(cè)重于數(shù)據(jù)機密性、完整性和系統(tǒng)可用性。在操作環(huán)境中；但是，優(yōu)先保護地點、人員和流程。因此，應用于物聯(lián)網(wǎng)的標準 IT 安全實踐即使不能提高其安全性和可靠性要求，也必須保持不變。

網(wǎng)絡(luò)安全能力不足：2017 年 9 月，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應急響應小組 (ICS-CERT) 發(fā)現(xiàn)美國醫(yī)院使用的注射器輸液泵存在多個安全漏洞。其中大部分與使用硬編碼或出廠默認安全憑證有關(guān)。用戶和操作人員并不總是網(wǎng)絡(luò)安全專家，因此無法檢測和防范這些缺陷。

及時打補?。禾峁┸浖凸碳?，解決安全漏洞。在工業(yè)環(huán)境中；但是，定期打補丁并不常見。此外，在許多情況下，固件升級可能需要暫時停用物聯(lián)網(wǎng)產(chǎn)品。

系統(tǒng)限制：許多物聯(lián)網(wǎng)產(chǎn)品（例如傳感器和執(zhí)行器）的內(nèi)存和 CPU 占用空間較小，這限制了它們的嵌入式安全功能。

網(wǎng)絡(luò)連接

連通性將原本“安全”的產(chǎn)品暴露在網(wǎng)絡(luò)入侵的影響之下。2014 年，查理·米勒 (Charlie Miller) 和克里斯·瓦拉塞克 (Chris Valasek) 利用其軟件缺陷，遠程讓一輛在高速公路上全速行駛的聯(lián)網(wǎng)車輛完全停止。要閱讀他們的完整報告，請參閱他們題為Remote Exploitation of an Unaltered Passenger Vehicle的文章。

信息安全設(shè)計主要依賴于使用防火墻和分區(qū)的邊界保護。物聯(lián)網(wǎng)產(chǎn)品中越來越多地使用無線電技術(shù)和無線技術(shù)，使它們很容易成為遠程攻擊的目標。未加密的數(shù)據(jù)通信也是物聯(lián)網(wǎng)妥協(xié)的主要原因。

第三方互操作性

任何物聯(lián)網(wǎng)解決方案都涉及多個技術(shù)、配置和協(xié)議服務提供商。這會導致更復雜、不均衡的安全合規(guī)性以及攻擊面的增加?；谟嗛喌哪Ｐ驮黾恿藢Φ谌焦踢M行設(shè)備配置、管理和操作的依賴，從而暴露了新的攻擊向量。

保護 IoT 產(chǎn)品的 4 層方法

物聯(lián)網(wǎng)安全需要超越傳統(tǒng)的網(wǎng)絡(luò)安全措施來克服這些挑戰(zhàn)。包含邊緣到云端工作流程的物聯(lián)網(wǎng)安全全棧方法至關(guān)重要。物聯(lián)網(wǎng)系統(tǒng)設(shè)計的 4 層安全模型可以減輕獨特的風險。

可靠的端點設(shè)計

由于它們與物理環(huán)境直接交互，因此非常需要防篡改設(shè)計。非默認用戶名/密碼或公鑰基礎(chǔ)設(shè)施 (PKI) 證書等合適的憑據(jù)可以限制未經(jīng)授權(quán)的設(shè)備訪問和操作。需要考慮的其他一些安全設(shè)計措施：

基于可信平臺模塊 (TPM) 的信任根

初始化和啟動過程的完整性

提供安全固件和軟件更新

存儲和傳輸中數(shù)據(jù)的完整性

選擇安全的實時操作系統(tǒng) (RTOS) 和容器化的故障隔離可以在運行時保護端點。

安全網(wǎng)絡(luò)訪問

由于物聯(lián)網(wǎng)運營的獨特挑戰(zhàn)，設(shè)計思維需要設(shè)想并深入分析以下用例場景：

訪問方法

產(chǎn)品用途

數(shù)據(jù)通訊

邊角案例

這直接導致開發(fā)網(wǎng)絡(luò)連接的威脅模型，并讓我們了解如何：

保護訪問端口

在存儲和傳輸過程中加密數(shù)據(jù)

使用隧道

保護協(xié)議

在網(wǎng)絡(luò)邊界實施深度數(shù)據(jù)包檢測

無線和射頻是物聯(lián)網(wǎng)連接的主要選擇，通常更容易受到攻擊。但是，您可以通過以下方式降低連接風險：

通過訪問和身份控制強制執(zhí)行網(wǎng)絡(luò)訪問憑證

啟用常見物聯(lián)網(wǎng)協(xié)議的內(nèi)置安全功能，例如：

消息隊列遙測傳輸 (MQTT)

受限應用協(xié)議 (CoAP)

Zigbee?

傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議 (TCP/IP)

基于合規(guī)性的設(shè)計

雖然合規(guī)性并不等同于安全，但合規(guī)性設(shè)計可以最大限度地減少漏洞。與信息安全不同，物聯(lián)網(wǎng)安全除了數(shù)據(jù)完整性、隱私性和可用性外，還涉及安全性、可靠性和彈性。換句話說，如果發(fā)生漏洞，系統(tǒng)必須設(shè)計為謹慎地過渡到穩(wěn)定的故障狀態(tài)，并將對周圍環(huán)境的影響降到最低。對于全速行駛的自動駕駛汽車，故障應該小心地讓它停下來。這就是為什么除了網(wǎng)絡(luò)安全標準——聯(lián)邦信息處理標準 (FIPS)、ISO 27001、美國國家標準與技術(shù)研究院 (NIST) SP 800 等——系統(tǒng)設(shè)計需要交織遵守行業(yè)特定法規(guī)——例如，健康保險流通與責任 (HIPAA)，交通部 (DOT)。

云和應用程序安全

基于云的配置、設(shè)備管理以及數(shù)據(jù)和應用程序托管是任何物聯(lián)網(wǎng)產(chǎn)品部署的核心。許多物聯(lián)網(wǎng)產(chǎn)品在軟件即服務 (SaaS) 上運行，其中第三方托管軟件層。盡管系統(tǒng)設(shè)計人員可能會或可能不會直接控制基于云的服務中的安全實施，但仍然必須根據(jù)產(chǎn)品文檔中明確列舉的某些云安全標準和最佳實踐來構(gòu)建部署。

結(jié)論

互聯(lián)產(chǎn)品是我們行業(yè)的未來。在不斷變化的威脅環(huán)境中，物聯(lián)網(wǎng)的網(wǎng)絡(luò)物理特性增加了安全挑戰(zhàn)。一旦您確定了挑戰(zhàn)，本博客中討論的 4 層方法提供了一種有條不紊的方法來降低風險。

關(guān)鍵點：

物聯(lián)網(wǎng)安全不僅僅是數(shù)據(jù)或聲譽的損失，它還意味著環(huán)境破壞、生命損失，并涉及道德、法律和倫理后果。

物聯(lián)網(wǎng)產(chǎn)品作為互聯(lián)生態(tài)系統(tǒng)的一部分運行，這使得它們的安全狀況具有獨特的挑戰(zhàn)性。

用于減輕威脅的 IoT 系統(tǒng)設(shè)計的 4 層安全模型涉及可靠的端點設(shè)計、安全的網(wǎng)絡(luò)訪問、基于合規(guī)性的設(shè)計以及云和應用程序安全。

Sravani Bhattacharjee 擔任數(shù)據(jù)通信技術(shù)專家已有 20 多年。她是《實用工業(yè)物聯(lián)網(wǎng)安全》一書的作者，這是第一本關(guān)于工業(yè)物聯(lián)網(wǎng)安全的書籍。直到 2014 年，作為思科的技術(shù)領(lǐng)導者，Sravani 領(lǐng)導了多個企業(yè)云/數(shù)據(jù)中心解決方案的架構(gòu)規(guī)劃和產(chǎn)品路線圖。作為 Irecamedia.com 的負責人，Sravani 目前與工業(yè)物聯(lián)網(wǎng)創(chuàng)新者合作，通過制作各種編輯和技術(shù)營銷內(nèi)容來推動意識和業(yè)務決策。Sravani 擁有電子工程碩士學位。她是 IEEE 物聯(lián)網(wǎng)分會的成員、作家和演講者。

審核編輯黃宇