物聯(lián)網(wǎng)系統(tǒng)攻擊正在成為頭條新聞,并繼續(xù)展示網(wǎng)絡(luò),邊緣節(jié)點(diǎn)和網(wǎng)關(guān)的安全漏洞。最近的Mirai僵尸網(wǎng)絡(luò)通過(guò)登錄運(yùn)行未更改默認(rèn)密碼的telnet服務(wù)器的設(shè)備,感染了超過(guò)250萬(wàn)個(gè)物聯(lián)網(wǎng)節(jié)點(diǎn)。1Mirai后來(lái)能夠?qū)ζ茐氖澜绱蟛糠值貐^(qū)互聯(lián)網(wǎng)訪問(wèn)的服務(wù)器調(diào)用拒絕服務(wù)。Reaper僵尸網(wǎng)絡(luò)通過(guò)利用軟件漏洞并感染它們來(lái)攻擊超過(guò)一百萬(wàn)臺(tái)物聯(lián)網(wǎng)設(shè)備。一個(gè)連接互聯(lián)網(wǎng)的魚缸提供了進(jìn)入賭場(chǎng)網(wǎng)絡(luò)的入口點(diǎn),導(dǎo)致10 GB的數(shù)據(jù)被盜。智能電視已被利用并用于間諜和監(jiān)視。
嵌入式傳感器系統(tǒng)剛剛開(kāi)始連接并暴露在互聯(lián)網(wǎng)上。作為工業(yè)物聯(lián)網(wǎng)(IIoT)的一部分,這些傳感器缺乏Web服務(wù)器在這種惡劣環(huán)境中所經(jīng)歷的過(guò)去二十年的發(fā)展。因此,該行業(yè)正在目睹1990年代和更早在這些系統(tǒng)中常見(jiàn)的許多攻擊。IIoT系統(tǒng)的生命周期通常比傳統(tǒng)計(jì)算中的生命周期長(zhǎng)得多。某些設(shè)備在部署后可能會(huì)繼續(xù)運(yùn)行數(shù)十年,并且維護(hù)計(jì)劃未知。
雖然服務(wù)器和PC足夠復(fù)雜,可以進(jìn)行安全配置,但I(xiàn)IoT節(jié)點(diǎn)通常功耗和處理能力較低。這為有意的安全措施留下了很少的功率預(yù)算。安全性在很大程度上是一種權(quán)衡,因?yàn)樯婕伴_(kāi)發(fā)成本。雖然IIoT的成本可能高于消費(fèi)者物聯(lián)網(wǎng),但它仍然將面臨可擴(kuò)展性成本方面的挑戰(zhàn)。如果忽視安全性,則在部署產(chǎn)品后將產(chǎn)生隱藏的影響,這些成本最終將需要得到解決。
傳感器和執(zhí)行器允許IIoT設(shè)備與物理世界進(jìn)行交互。網(wǎng)絡(luò)攻擊主要限于數(shù)據(jù)丟失,盡管IIoT黑客攻擊允許比過(guò)去更容易進(jìn)入物理世界。攻擊現(xiàn)在有可能造成身體傷害。這在IIoT中更為重要,因?yàn)槭】赡軙?huì)關(guān)閉或破壞價(jià)值數(shù)百萬(wàn)美元的工業(yè)流程,或?qū)е挛<吧那闆r。
互聯(lián)互通的世界
IIoT設(shè)備通常連接到某些網(wǎng)絡(luò),并且通常連接到互聯(lián)網(wǎng)。這種連接是使他們最容易受到攻擊的原因。與流行病學(xué)領(lǐng)域類似,感染是通過(guò)接觸其他機(jī)器傳播的。攻擊媒介存在于系統(tǒng)與外部世界交互的地方。攻擊者能夠嚴(yán)格地與系統(tǒng)進(jìn)行交互,因?yàn)樗麄兊倪B接訪問(wèn)。要問(wèn)的第一個(gè)系統(tǒng)設(shè)計(jì)安全問(wèn)題是:“設(shè)備真的需要連接到網(wǎng)絡(luò)嗎?將其連接到網(wǎng)絡(luò)會(huì)大大增加安全風(fēng)險(xiǎn)。
保護(hù)系統(tǒng)的最佳方法是防止它連接到網(wǎng)絡(luò)或?qū)⑵湎拗圃诜忾]的網(wǎng)絡(luò)。許多IIoT設(shè)備連接到網(wǎng)絡(luò)僅僅是因?yàn)樗鼈兛赡軟](méi)有太多理由。將設(shè)備連接到網(wǎng)絡(luò)的好處是否超過(guò)了與之相關(guān)的安全風(fēng)險(xiǎn)?此外,與面向互聯(lián)網(wǎng)的系統(tǒng)交互的任何其他遺留系統(tǒng)也可能面臨風(fēng)險(xiǎn)。
在許多情況下,其他安全網(wǎng)絡(luò)和安全節(jié)點(diǎn)還必須與傳統(tǒng)的現(xiàn)有網(wǎng)絡(luò)進(jìn)行互操作,而傳統(tǒng)現(xiàn)有網(wǎng)絡(luò)本身的安全性可能遠(yuǎn)遠(yuǎn)低于傳統(tǒng)網(wǎng)絡(luò)。這帶來(lái)了一個(gè)新問(wèn)題,因?yàn)樽钊醯陌踩L(fēng)險(xiǎn)可能不受IIoT系統(tǒng)的影響。在這種情況下,IIoT系統(tǒng)還需要保護(hù)自己免受網(wǎng)絡(luò)內(nèi)部的影響。
節(jié)點(diǎn)的安全注意事項(xiàng):2
機(jī)密性 — 防止數(shù)據(jù)泄露給未經(jīng)授權(quán)的人員,例如欺騙性攻擊
身份驗(yàn)證 - 使用數(shù)字證書驗(yàn)證兩臺(tái)計(jì)算機(jī)之間的身份
安全引導(dǎo) — ROM 引導(dǎo)加載程序存儲(chǔ)可驗(yàn)證第二階段引導(dǎo)加載程序的真實(shí)性
安全固件更新 - 僅允許制造商授權(quán)代碼
授權(quán) — 只有真實(shí)的節(jié)點(diǎn)才能獲得網(wǎng)絡(luò)訪問(wèn)權(quán)限
完整性 — 防止數(shù)據(jù)被更改
記帳 — 正確記帳數(shù)據(jù)、節(jié)點(diǎn)計(jì)數(shù)和時(shí)間戳有助于防止對(duì) IIoT 網(wǎng)絡(luò)的意外訪問(wèn)
安全通信 — 可駐留在低功耗節(jié)點(diǎn)上的加密協(xié)議
可用性 — 確保用戶在需要時(shí)能夠進(jìn)行訪問(wèn)
不可否認(rèn)性 — 確保不會(huì)拒絕真實(shí)的通信請(qǐng)求
可靠性 — 即使在惡劣的電氣環(huán)境中,訪問(wèn)也需要可靠
[圖1|欺騙偽裝成網(wǎng)關(guān)的已知節(jié)點(diǎn)。
隔離
將系統(tǒng)彼此隔離可以減少攻擊面并限制惡意軟件的傳播。將不需要網(wǎng)絡(luò)連接的系統(tǒng)與暴露于網(wǎng)絡(luò)的系統(tǒng)隔離開(kāi)來(lái)。對(duì)于高風(fēng)險(xiǎn)系統(tǒng),考慮設(shè)置一個(gè)單獨(dú)的氣隙或嚴(yán)格監(jiān)控的網(wǎng)絡(luò),該網(wǎng)絡(luò)與其他網(wǎng)絡(luò)分開(kāi)。理想情況下,關(guān)鍵系統(tǒng)應(yīng)與外部世界完全隔離。3
聯(lián)網(wǎng)汽車的信息娛樂(lè)系統(tǒng)可能會(huì)使車輛暴露于許多以前從未見(jiàn)過(guò)的新攻擊媒介。主機(jī)控制單元(ECU)與信息娛樂(lè)系統(tǒng)無(wú)關(guān),也不應(yīng)通過(guò)信息娛樂(lè)系統(tǒng)與之交互。雖然車輛中通常有兩個(gè)獨(dú)立的CAN總線將最關(guān)鍵的系統(tǒng)與其他系統(tǒng)分開(kāi),但它們?nèi)匀灰阅撤N方式連接在一起。仍然有可能妥協(xié)一方并控制另一方。如果這些網(wǎng)絡(luò)之間完全隔離,那么妥協(xié)的風(fēng)險(xiǎn)將從潛在的生命威脅降低到遠(yuǎn)不那么嚴(yán)重的事情。
[圖2 |可能感染IIoT系統(tǒng)的各種類型的惡意軟件。
移動(dòng)到邊緣
許多IIoT系統(tǒng)連接到云服務(wù)器,該服務(wù)器收集和處理設(shè)備發(fā)送給它的信息,并管理設(shè)備。隨著設(shè)備數(shù)量擴(kuò)展到大量設(shè)備,云可能難以跟上所有這些設(shè)備的速度。許多系統(tǒng)正在將處理轉(zhuǎn)移到IIoT設(shè)備上的邊緣,以減少到云的流量。
我們經(jīng)常將數(shù)據(jù)視為一種資產(chǎn)。數(shù)據(jù)被挖掘和出售,以發(fā)現(xiàn)大型數(shù)據(jù)集中的隱藏模式。但是,收集的大量數(shù)據(jù)通常不是很有用,盡管它可能對(duì)攻擊者有用。敏感數(shù)據(jù)為攻擊者創(chuàng)造了一個(gè)目標(biāo),并造成了責(zé)任。收集的數(shù)據(jù)應(yīng)過(guò)濾為僅需要的數(shù)據(jù),其余數(shù)據(jù)應(yīng)盡快刪除。這不僅提高了安全性,而且提高了所收集數(shù)據(jù)的實(shí)用性。識(shí)別潛在的敏感信息并消除或限制其收集非常重要。
在邊緣處理數(shù)據(jù)可以減少發(fā)送和暴露給云的數(shù)據(jù)量。發(fā)送的位置數(shù)據(jù)越多,就越難對(duì)其進(jìn)行保密。每個(gè)新節(jié)點(diǎn)都是另一個(gè)潛在的危害,數(shù)據(jù)可能會(huì)泄露。攻擊面可以呈指數(shù)級(jí)增長(zhǎng)。
將敏感數(shù)據(jù)保留在邊緣可以限制攻擊面,特別是機(jī)密數(shù)據(jù)。如果它被限制在一個(gè)邊緣節(jié)點(diǎn)上,則被盜的可能性較小。在圖像處理后僅通過(guò)二進(jìn)制信號(hào)檢測(cè)并報(bào)告車輛存在的停車占用傳感器不會(huì)流式傳輸視頻。它消除了圖像中包含的大量不必要的數(shù)據(jù)。這減輕了接收服務(wù)器的負(fù)擔(dān),因此不會(huì)惡意地將其重新用于監(jiān)視。
與消費(fèi)者物聯(lián)網(wǎng)系統(tǒng)類似,工業(yè)物聯(lián)網(wǎng)系統(tǒng)也具有必須維護(hù)的專有和機(jī)密信息:
專有算法
嵌入式固件
客戶信息
財(cái)務(wù)信息
資產(chǎn)位置
設(shè)備使用模式
競(jìng)爭(zhēng)情報(bào)
訪問(wèn)更大的網(wǎng)絡(luò)
穿過(guò)迷霧
一些IIoT設(shè)備仍然缺乏基于邊緣的功率和性能。另一種正在出現(xiàn)的拓?fù)浣Y(jié)構(gòu),即霧模型,是云和邊緣系統(tǒng)之間的混合體。在霧模型中,邊緣節(jié)點(diǎn)首先連接到接收數(shù)據(jù)的網(wǎng)關(guān),并在將數(shù)據(jù)發(fā)送到云之前執(zhí)行一些處理。許多 IIoT 設(shè)備可能有一個(gè)網(wǎng)關(guān)。網(wǎng)關(guān)不需要使用電池供電,可以在處理能力方面提供更高的預(yù)算,并且成本高于受限制的IIoT設(shè)備。
從可擴(kuò)展性問(wèn)題中,迷霧已經(jīng)升起,但也可能在安全性方面發(fā)揮作用。網(wǎng)關(guān)設(shè)備可以幫助保護(hù)易受攻擊的邊緣節(jié)點(diǎn),這些節(jié)點(diǎn)可能過(guò)于受限制而無(wú)法自行提供安全性,但最好提供某種級(jí)別的保護(hù),而不是不提供保護(hù)。網(wǎng)關(guān)可用于幫助管理其下的所有節(jié)點(diǎn),而不是直接管理每個(gè)單獨(dú)的節(jié)點(diǎn)。霧模型還可以允許在IIoT中進(jìn)行事件響應(yīng),同時(shí)避免服務(wù)中斷。例如,安全性可以通過(guò)與網(wǎng)關(guān)交互而不是關(guān)閉任務(wù)關(guān)鍵型生產(chǎn)線來(lái)響應(yīng)。
預(yù)配和部署
IIoT面臨的最大挑戰(zhàn)之一是大量設(shè)備的部署和管理。眾所周知,廣泛的IIoT系統(tǒng)難以設(shè)置和配置。由于IIoT的生命周期很長(zhǎng),系統(tǒng)可以由一個(gè)團(tuán)隊(duì)部署,并在幾年后當(dāng)另一個(gè)團(tuán)隊(duì)支持它時(shí)仍然可以運(yùn)行。
默認(rèn)情況下,IIoT系統(tǒng)通常不安全,身份驗(yàn)證機(jī)制較弱。正如Mirai僵尸網(wǎng)絡(luò)所看到的那樣,大多數(shù)用戶從未登錄IIoT設(shè)備進(jìn)行配置。他們甚至可能不知道它們應(yīng)該被配置。大多數(shù)IIoT用戶認(rèn)為事情只是開(kāi)箱即用。默認(rèn)情況下,必須確保系統(tǒng)安全。應(yīng)設(shè)置系統(tǒng)期望,即用戶不得配置默認(rèn)設(shè)備以外的設(shè)備。弱默認(rèn)密碼是一個(gè)常見(jiàn)的錯(cuò)誤。
審核編輯:郭婷
-
傳感器
+關(guān)注
關(guān)注
2551文章
51099瀏覽量
753575 -
物聯(lián)網(wǎng)
+關(guān)注
關(guān)注
2909文章
44635瀏覽量
373368
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論