物联网安全防护框架与评估模型【转载】
物联网发展速度到底有多快?我们看看下面这张图就知道了。
图中可以看到2008年是一个转折点:全球物联网设备数量超过了全球人口。相比于电力和电话,物联网的普及率是他们的五倍!
为物联网井喷式发展作助攻的是基于消费者的平板电脑和笔记本电脑联网的IPv4(即信息技术(IT))逐渐转变为基于运营技术(OT)的机器与机器交互的IPv6,包括传感器、智能对象和集群系统(例如智能电网)。
从智慧城市到高楼大厦,再到汽车、医疗设备等等,物联网无处不在。安全性能不高的物联网设备和应用程序对很多企事业机构的关键功能造成破坏的恶性事件层出不穷。近年来,物联网安全威胁更是如猛虎野兽迎面扑来。物联网技术突破速度有限,对开发人员和安全人员来说,其外部发展环境却是越来越复杂艰险。本文将从物联网系统的开发过程和开发完成后的安全评估两方面来论述物联网安全防护的应对措施与建议。
思科物联网安全框架建议
为了应对复杂多变的物联网环境与相关的安全问题,一个灵活的安全框架至关重要。物联网的安全环境如下图。
物联网安全环境
下图展现的则是物联网安全防护框架,即四大组成部分:
认证 (Authentication)
授权 (Authorization)
强制性的安全策略 (Network Enforced Policy)
安全分析:可见性与可控性 (Secure Analytics: Visibility and Control)
这四项内容形成物联网防护框架的“信任链(Trust Relationship)”。
物联网防护框架
认证
认证层是整个框架的核心,提供验证物联网实体的标识信息并用于验证。当互连的物联网设备(例如,嵌入式传感器和致动器或端点设备)需要访问物联网基础设施时,信任关系根据该设备的“身份信息”决定是否允许访问。身份信息的存储和呈现方式基本上也各不相同。
在一般的企业网络中,端点设备都是通过人为认证(如用户名、密码、令牌或生物特征)来确定。但物联网端点则不需要人为交互,其认证方式包括射频识别(RFID)、共享密钥、X.509证书、端点的MAC地址或某种类型的基于不可变硬件的可信root。
采用X.509证书的认证体系十分强大。但在物联网设备中,很多设备都可能没有足够的存储器来存储证书,甚至没有所需的CPU执行验证X.509证书(或任何类型的公钥运算)的密码运算。
由IEEE 802.1X确立的802.1AR和认证协议等现有身份标识可以用于那些具备足够CPU负载和内存来存储强大凭据的设备。然而,新的认证因素和模式带来了挑战的同时也带来了机遇,它们不断推动着研究人员研发内存占用更小的认证类型和认证协议,减少计算密集型的加密结构。
授权
该框架的第二层是控制设备在整个网络结构中的访问授权。该层建立在核心的身份认证层上,利用设备的身份信息展开运操作。
有了认证与授权层后,物联网设备之间的信任链就建立起来了,互相传递相关的、合适的信息。例如,一辆汽车可能与同一供应商的另一辆汽车建立信任联盟。然而,这种信任关系可能只允许汽车之间就安全这一项功能进行交互。当同一辆汽车与其经销商网络之间建立信任联盟时,这辆汽车可能就能够共享程表读数、最后维护记录等其它附加信息。
有一点比较乐观,目前用于管理和控制对消费者和企业网络访问权限的策略机制完全能够满足物联网的需求。而我们所面临的最大难题是如何构建一个能够处理数十亿个物联网设备的体系架构,并在该架构中建立不同的信任关系。在整个网络中部署流量策略及合适的空间,对数据流量进行分段并建立端到端的交互方式。
强制性的安全策略
该层包括在基础架构上安全地route并传输端点流量的所有元素,无论是控制层面、管理层面还是实际数据流量中的。像授权层一样,外部环境已经建立了保护网络基础架构的协议和机制,并在物联网设备案例中运用合适的策略。
安全分析:可见性与可控性
该安全分析层确定了所有元素(端点和网络基础设施,包括数据中心)可能参与的服务,提供遥感勘测,实现可见性并最终控制物联网生态系统。
随着大数据系统的成熟,我们可以部署一个能够实时处理大量数据的大规模并行数据库(MPP)平台。如果我们把这项技术与分析技术结合在一起时,就可以对现有的安全数据展开统计分析,发现异常情况。
另外,该层还包括汇总和关联信息(包括遥测)以提供侦察和威胁检测的所有要素。威胁缓解可能会拦截攻击者访问更多的资源,阻止其运行专用脚本来启动相应的修复程序。由物联网设备生成的数据只有在确定了正确的分析算法或其他安全情报程序进行威胁识别时才有价值。我们可以通过收集多个来源的数据并应用基于各种安全算法层次的安全性配置文件和统计模型来获得更准确的分析结果。
网络基础设施已经变得越来越复杂。公共和私有云的拓扑也在敦促安全人员:威胁情报和防御能力也必须是基于云的。可视性、环境、可控性的合理编排才能带来准确的情报信息。该层内的组件包括以下几项:
遥测和侦察数据所采集的实际物联网基础设施
合并、分析数据的核心功能集,实现可视化、情境感知与管控
基于前面两个组件搭建起来的实际分析结果展示(交付)平台
实际实施的过程可能会各不相同,但是这个框架可以应用于任何物联网体系。如果物联网基础设施中包含需人为携带的设备(如笔记本电脑、手持式扫描仪),这个简单灵活的框架同样也能发挥作用。
但是是不是说我有了这个框架就天下无敌了?现实总是残忍的。至少以目前的防御技术还实现不了。但可以确定的是我们努力的方向是正确的,大数据和分析平台这两个工具的作用不可估量。安全威胁不断变异,搭建一个能够抵御各类威胁的体系架构迫在眉睫。这个安全框架是体系构建时选择安全服务的参考基础。随着研究人员对横纵向环境综合深入地考虑,现状与理想化的防御体系之间的差距也会逐渐缩小。
虽然物联网架构的安全隐患很大,但是分析一个可行的物联网安全框架能够为提高生产环境和生产结果安全性带来不可小觑的作用。上文思科公司提出了一个能够应用于协议与产品开发、操作环境中策略执行的框架,供国内读者参考。
物联网安全评估模型
在整个开发过程中,理想状态是每一个开发商都能够做到对这个安全框架的严格遵循。但是很多开发商最终都会遇到下面这些难题,妥协越多,系统越脆弱:
设备开发厂商追求眼前利益,只求速度,忽略安全问题,导致产生无数容易被不法分子利用的漏洞。
很多开发人员经常在不知道安全的最佳编码实践的情况下去设计和构建那些相同的移动和web应用。
企业内部维护和高效管理端到端安全测试团队所需要投入的时间和人力成本过高。
具有扎实的设备及应用程序渗透测试技术功底的安全人才供不应求,对很多企业机构来说,找到、聘用到这样的安全人才非常困难,更不用说保持他们的员工忠诚度了。
如果整个系统最终被搭建得漏洞百出,但是已经竣工。事已至此,唯一的解决方案也只有事后补救、后期加固了。这就需要展开对整个已经“竣工”的物联网体系的安全评估工作。安全评估包括以下三个关键点:深入了解环境的复杂性、充分研究相关组件、制定一个全方位的评估计划。
物联网安全评估中涉及到的漏洞本质上更加复杂,因为相比于简单的web和移动应用,整个物联网系统中会涉及到更多的硬件、软件及交互协议。也就是说,物联网系统中的攻击面更大,攻击方式更加多样化。
一个成功的物联网安全评估模型首先需要电子生态系统对特定的物联网设备进行完整映射,然后再去制定详细的评估计划。
映射要从宏观和微观两个角度展开。
从宏观角度来看,映射的范围需要足够广泛,应包含与整个生态系统功能相关的所有设备及组件。
从微观看,某个工作人员必须对每一个组件和其潜在的弱点了如指掌,包括硬件类型、固件类型、通信方式、程序语言以及是否有第三方组件等。组件本身自带的以及各个组件交互过程中产生的漏洞、弱点问题都需要安全工作人员作非常深入的研究。
在物联网安全评估项目中,被称为“测试员”和“评估员”的岗位举足轻重。他们了解物联网设备、该设备所运行的环境,制定综合的评估计划,计划中也包含了实施过程中需要用到的工具。测试员的岗位职责就像建筑师设计图纸,把图纸交到建筑工人手中(“评估员”),建筑人员开始动工。同样的,评估员拿到这张“图纸”后,从他们的黑客工具箱中选取合适的工具,然后开始整个安全评估工作最有意思的部分——设备渗透。
物联网在未来几年依然会有爆炸式的发展,预计到2020年将扩大到200亿台以上的设备。想要长期稳固地立足物联网市场,一个好的安全防护框架与安全评估模型在抵御多变复杂的威胁中至关重要。