? ? ?物聯網催生出許多創新商業模式和應用��,同時也會引發一些新的安全和隱私問題���,那么,我們如何才能防患于未然?
物聯網時代已經來臨
高德納咨詢公司(Gartner)的數據顯示�����,到 2020 年���,互聯設備(不含個人電腦��、智能手機和平板電腦)總數將達到 260 億臺���。物聯網產品和服務供應商將創造超過 3000 億美元的增量收入。
過去幾年間�����,零售商通過互聯設備推廣新產品和服務�����,從而接觸到更多的消費者���。消費者則使用互聯的醫療和健身設備��,監控并交換鍛煉數據和生命體征數據���。隨著智能家電的種類日益增多,家居生活也變得越來越智能���。
與此類似的是��,工業企業也在通過物聯網為其供應鏈和設備提供支持��。與其他領域的物聯網應用不同���,工業物聯網包括數據采集與監控系統(Supervisory Control and Data Acquisition�����,簡稱 SCADA)等工業控制流程�����,該系統的控制范圍涵蓋組裝汽車的機械噴漆和焊接系統��,以及發電���、煉油和天然氣配送設備。在這些應用中�����,控制系統從傳感器和設備網絡中提取數據��,在沒有人工干預的情況下做出決定���?�?梢灶A見的是��,未來的工業流程將更加依賴于軟件控制的精確度��,公司也將通過自動化進一步降低成本���。產業物聯網正在改變各產業的運營方式(見圖一)。
? ? ? 萬物互聯世界的安全問題
智能互聯設備在生產�����、生活中得到了廣泛應用���。在商務���、制造、醫療���、零售和交通領域��,智能互聯設備控制著全球大部分核心基礎設施�����。然而�����,我們需要詳細了解各領域的安全要求和工作重點�����。例如�����,信息技術(Information Technology���,簡稱 IT)和運營技術(Operational Technology�����,簡稱 OT)的安全要求和治理機制可能相互沖突���。油氣生產與互聯零售或互聯汽車的運營和安全要求截然不同。如果對不同場景下物聯網的安全需求不給予足夠重視的話�����,事態可能迅速惡化�����,造成災難性后果,正如下列場景中所描述的一樣��。
場景一���,在工業控制系統
攻擊者可通過修改控制設置或傳感器數值��,擾亂生產或嚴重破壞設備,嚴重時可導致機械損毀或造成人員死亡��。因為許多工業控制系統(Industrial Control Systems���,簡稱 ICS)采用高度復雜精確的機制��,而這種通過軟件運行和控制機械的方式�����,為網絡攻擊者提供了大量可攻擊目標��。
大型 ICS 規模巨大���,安裝此類系統代價高昂,其使用年限通常高達20年甚至更久。許多組件可能十分陳舊�����。如果安全人員發現了嚴重漏洞���,更新生產系統通常會影響生產�����。如果技術人員提前多月安排維護窗口用于更新系統���,以避免系統運行中斷,則可能導致響應緩慢��,加上成功的網絡攻擊可能帶來巨大影響���,使得 ICS 成為黑客們的首選攻擊目標�����。
場景二���,互聯汽車
汽車行業長期以來一直使用計算機化系統,即電子控制單元(Electronic Control Unit,簡稱 ECU)�����,通過傳感器和執行器監控并控制引擎性能和廢氣排放�����。ECU 還通過牽引力控制��、防抱死制動���、電子穩定控制、預緊式安全帶和安全氣囊的軟件控制系統改善汽車安全��。
目前的車載娛樂系統已經實現與移動設備無縫整合�����。連接方案和控制系統已經成為現代汽車的一部分�����,制造商日益認識到需要保障這些系統的安全性���,尤其是對控制汽車實際運行的設備進行無線更新���。
場景三���,無人飛行器
越來越多的機構計劃利用無人飛行器(Unmanned Aerial Vehicles,簡稱 UAV)或無人機收集難以接近或高度危險區域的數據���。
然而��,為無人機配備高分辨率相機和秘密放飛無人機的行為�����,也帶來了新的隱私方面的擔憂�����。UAV 越來越強的負載能力也帶來了新的安全威脅:如果載有炸藥或槍支��,商用 UAV 可能變成攻擊工具���。
即使是在假設和平的應用場景中,無人機系統也很容易遭到攻擊���。對無人機指揮和控制系統的成功攻擊可能造成墜機�����,通過破壞導航系統竊取或控制無人機�����。
場景四���,互聯零售
物聯網為企業帶來了新的價值增長點��。云計算的出現使得平臺即服務(Platform-as-a-Service�����,簡稱 PaaS)和軟件即服務(Software-as-a-Service,簡稱 SaaS)等構想成為現實���。
物聯網使得企業與供應商和消費者緊密聯系��,復雜的云和大數據分析可以幫助公司更深入地了解其客戶和消費者行為�����。換個角度���,這對于消費者隱私來說意味著什么?各實體機構可以分析或者濫用消費者的消費行為信息��、地址���、甚至生物識別信息!
基于上述潛在威脅,IT 安全高管們不僅需要關注物聯網環境下的新興安全挑戰��,還應積極思考��,如何將安全保障與工作流程和產品生命周期管理結合起來���。圖二為我們展示了一個高級物聯網架構���,并簡單介紹攻擊者攻擊物聯網各部分的方式。
? 物聯網時代的安全挑戰
物聯網涉及領域廣泛��,消費者和企業都難以及時掌握安全威脅信息���。事實上���,企業面臨若干安全挑戰�����。
運營安全
物聯網同時連接了虛擬世界和現實世界���。企業內部建立的安全模型不一定符合現實世界和運營技術的要求。
例如��,在石油生產和互聯零售行業中��,運營技術(OT) 領域的安全和安保要求互不相同�����。但由于石油生產商需要售賣石油�����,其零售和計費活動需要能為業務提供支持的信息技術(IT) 機制��,而郵件��、歸檔�����、人力資源和財務等部門則需要傳統業務系統�����。
企業可以利用“CIA 三要素”(即信息的保密性���、完整性和可用性)來評估 IT 和 OT 領域之間的安全問題��。
在 IT 領域���,企業能以系統的可用性為代價,保護信息的保密性和完整性——隨著移動操作系統和硬件平臺數量日益增長�����,如果補丁在部署前沒有得到充分測試��,應用程序會出現故障�����,引發客戶不滿��。企業可能會為安全更新進行臨時維護���,而犧牲服務的可獲得性��。
在 OT 領域��,可用性是重中之重���。有人認為由于這一領域的保密信息較少���,可以保密性為代價優先確保可獲得性�����。然而��,OT 領域仍然存在保密信息�����。制造專業潤滑油�����、藥品甚至軟飲料都需要制造商為獲得競爭優勢而開發的獨有配方和原料。復雜的間諜軟件攻擊��,例如利用蜻蜓(Dragonfly)攻擊以制藥企業為目標的多段式攻擊近年數量有所上升�����,此種攻擊能秘密訪問 IP 和其他 OT 領域的保密信息��。
同時�����,IT 領域的可用性仍然舉足輕重;視頻會議或直播服務要求企業必須保護服務的可用性�����,同時確保低延遲��。即使所播放的保密信息安全性高�����,一旦服務不穩定���,業務便會迅速流失。
在 IT 和 OT 領域中,信息的完整性也十分必要���。如同工業控制系統一樣���,保障數據完整性是信息可用性的基礎。IT 和 OT 領域之間復雜的運營和安全互動以及與之相關的問題���,要求企業采用新的思維方式��。
然而�����,適用于所有用例的“萬金油”并不存在��,企業不應認定傳統的防御方式足以長期抵御惡意攻擊��。震網病毒證明零日攻擊(zero day)可以利用并竊取證書�����,而高度集中的多段式攻擊策略能極其有效地攻破防御并持續躲避檢測��。
因此企業該如何探查以躲避檢測為目的的隱蔽攻擊者呢?企業可以購買計算能力和復雜算法��,通過裝載分析和模式發現軟件��,即時檢測惡意軟件�����。通過對 IT 和 OT 領域的遙測(Telemetry)數據進行非干擾式分析��,檢測并關聯系統行為中的微小變化���,企業能夠設置新的安全警報,對表明存在惡意軟件的異常行為提高警惕�����,在惡意軟件達成目的之前采取行動���。
治理模式
當 OT 和 IT 系統融合為統一的平臺��,風險���、治理模式和合規行為將發生哪些變化?這種融合系統一旦出現故障,便會帶來嚴重且影響深遠的后果���。
企業只能通過設立同時適應兩種情況的安全治理模式�����,才能實現有效的端對端安全管理�����。為了達到這一目的��,企業必須確定人員��、責任和行動安排��,也需要建立清晰的對話機制��。OT和IT領域的不同要求催生了不同的術語和操作實踐�����,因此有效而全面的治理模式需要結合IT和OT兩方面的經驗�����,從而建立并協調綜合安全策略和事件響應機制���。
以此對應的是企業組織變革的需求�����,這些組織變革需求包括設立首席風險官職位��,令其負責協調IT和OT領域���,或開發更加聯合的模式,使首席信息安全官(CISO)在制定商業決策時握有話語權�����,從而確保將端對端安全納入首要考慮范圍���。
數據保障
企業應將數據保障也當做安全治理的必要組成部分�����。企業必須在數據層面采用安全方法�����,在產品的整個生命周期(從誕生到棄用)堅持執行數據保障策略��,以此作為數據治理和應對完整性挑戰的潛在解決方案���。
幸運的是�����,幾種以數據為中心的安全技術均以在多平臺上提供數據保護執行策略為目的���。Voltage Security(由惠普收購),Informatica���、Protegrity 等公司專注于開發以數據能力為中心的解決方案��,例如數據分類和發現�����、數據安全策略管理���、用戶權限和活動監控、審查和報告���,以及數據保護�����。低質量和低保障的數據會干擾決策流程��,增加獲取洞察的總成本��。
由于企業建立了用于大規模�����、高速收集和處理數據的基礎架構���,他們同樣應該采取與之相符的數據保障和審查框架���,以配合數據擴展��。企業必須考慮使用專為大數據應用程序設計的數據質量工具���。高德納咨詢公司的魔力象限(Magic Quadrant)數據質量工具深入介紹了當下的供應商現狀�����,以及他們所用的工具將數據作為資產進行處理的能力��。
隱私期望
大數據收集會引發關于隱私和保密性的新擔憂��。
遠距離讀取射頻識別(radio frequency identification�����,簡稱 RFID)標簽或低功耗藍牙(Bluetooth low energy���,簡稱 BTLE)信標(iBeacon)讓人們能夠對地點或個人進行定位�����。此外���,黑客可以控制監視器、攝像頭和麥克風的設備驅動程序���,用來“監視”個人��,獲取密碼等數據�����。
在通過生物統計傳感器測量個人健康狀況的可穿戴技術問世之后��,人們日益關注自己的運動和飲食需求���。但絕大部分可穿戴設備尚未獲得醫療行業的認可�����。它們收集的資料不在 HIPPA 法案的保護范圍之內�����。不受監管的第三方獲取并分析這些數據�����,從中提取關于個人身體情況的詳細隱私資料���。
軟件修補
由于每天都有新的軟件漏洞出現���,企業需要具備更優異的物聯網響應方式�����。與傳統的 IT 設備或消費者技術不同��,許多物聯網設備并沒有用于下載和安裝安全更新的交互界面�����。在消費者領域��,這種情況更加嚴重��。人們會購買并安裝互聯設備��,卻很少意識到安全和隱私問題��。
因此��,企業必須開始思考如何在互聯產品中建立信任基礎�����。顯然��,消費者缺乏安全意識不能當做不作為的借口——企業需要為互聯設備網絡安裝新的安全控制功能��,讓物聯網用例有利于用戶��,避免產生潛在危害。
但對于產業用例而言��,為物聯網設備集中修補漏洞并不可行���,因為這會導致服務中斷�����。由于物聯網用例越發復雜�����,通信協議和新的互聯設備組合要求供應商確保它們嚴格遵循安全發展實踐��。它們還需要編寫適應性強的代碼�����,以安全的方式處理意外或不合規的輸入�����。如此一來��,終端攻擊的數量和對軟件補丁的需求便可減少。但企業也并不可能完全擺脫需要修補軟件的情況。然而��,企業可以將網絡攻擊者用于訪問系統的隱蔽技術重新定向���,并安裝作為替代型遞送模式的軟件�����。
通信協議多種多樣
物聯網中的通信協議多種多樣��,因此與采取超文本傳輸協議(HTTP)的網絡相比�����,物聯網所面臨的安全問題更為嚴峻���。沒有任何一種安全協議能夠適用于所有情況。
企業必須意識到只有當物聯網解決方案囊括了不同類型的協議和設備時��,安全才能通過端到端機制產生效用���。安全構架師必須直面挑戰���,找出每個物聯網通信協議所對應的且行之有效的安全機制��,并確保這些機制符合企業治理模式所規定的成本�����、績效和隱私要求�����。
數字身份驗證
如今��,許多物聯網設備依賴于硬編碼訪問密鑰���,因此容易遭受暴力攻擊和欺騙攻擊。此外��,每個系統的證書類型各不相同�����,因而在系統上存儲和使用證書的方法也不一樣��。而在物聯網系統中���,這些驗證問題必須加以解決�����。
因此��,企業亟需為每一個人和每一臺設備提供獨特身份的模型�����,而且這個模型必須能獨立判斷是否應該進行信息交換���。它必須能正確地識別不同的物聯網設備,只有托管設備能自由訪問或連接企業網絡中的其他設備和應用��。
訪問管理
訪問管理領域的挑戰主要涉及兩個問題:“訪問主體和訪問對象是什么?”和“訪問的目的是什么?”在傳統的用戶訪問管理中���,需要驗證用戶名(和密碼)��。
物聯網所面臨的挑戰在于:人所使用的目錄服務或應用程序用戶數據庫有通用的標準��,而物聯網中的傳感器和設備并沒有類似的通用標準���。企業往往需要決定最適合每個實施步驟的方法(如基于能力的控制)。
同時安全經理也需要再次確認最適合每個實施步驟的方法�����。基于數字身份驗證的訪問管理應采用聲明式驗證技術���,允許進行更多的動態訪問控制�����。受訪系統應根據設備的狀態�����、身份和地址�����,提供具體級別的授權訪問或者拒絕訪問�����。
時間服務
判定“何人或何物在何時做了何事”的能力是基本的安全要求�����,因此時間也是安全機制的重要組成部分���。許多物聯網設備(如 NFC 智能卡���,NFC 即 Near Field Communication,近場通信技術)所面臨的問題是它們并不涉及時間這一概念�����。因此��,日志記錄系統需要囊括多種用于識別并關聯事件的方法�����。
應對故障/網絡事件而設計的解決方案
企業應設計解決方案�����,以應對因網絡事件而導致的不同程度的故障���。解決方案之一便是使用適應性更強的軟件,尤其是能夠抵抗一定程度的網絡攻擊的自我修復軟件��,而非那些每隔一段時間就需要安裝補丁的軟件��。這種軟件的設計理念應涵蓋多種替代型安全措施,當一種安全控制措施失效時�����,可啟動“故障轉移”��,采用另一種安全措施��。
換言之���,僅有一處安全漏洞并不會導致整個系統受損;應隨時準備好備份機制�����,應對網絡故障�����。
如何防患于未然?
為了安全地運用新興的物聯網技術���,數字企業需要正確地認知周遭環境并自動對變化作出反應。
在互聯產品中建立信任基礎
產品從構思到制造的所有階段��,都應該遵循“安全設計”原則。在系統的初始配置階段��,設計師應內置運行控件���,以驗證所有部件的行為都遵循預期運行規范�����。設計活動應包括對系統威脅和風險狀況的全面分析���。針對極有可能導致嚴重后果的威脅�����,應改善相應的工程設計流程��。同時��,制定應急計劃��。
在運營層面建立全新思維模式
企業需要不斷地監控物聯網的運行和安全狀況��。這是大數據領域的挑戰���,因而需要大數據解決方案���。此外���,物聯網系統可能會包括類似系統的片段。因此��,企業需要設計出能修復故障的解決方案并側重于增強系統的適應能力��。首先需要做的是通過機器學習和有效反應機制���,建立異常檢測能力���。
建立情境化的威脅模型
物聯網會催生新的商業模式,為了提高安全程序的成效�����,確定業務目標和安全運行之間的聯系十分必要���。企業應量身定制威脅模型��,其中應包括關鍵業務目標���,基礎技術構架以及可能會損害業務的潛在威脅��。情境化的威脅模型能對潛在的物聯網安全威脅進行排序�����,并識別傳統控制方法無法應對的盲點���。
吸取移動和信息物理系統安全經驗
盡管物聯網系統和應用程序與移動和信息物理系統(Cyber-Physical Systems,簡稱 CPS�����,為嵌入式系統)平臺有所關聯���,但兩者并不完全相同。即便如此�����,企業應從這些物聯網先驅者們遇見的困難和教訓中汲取經驗���。
隱私設計(Privacy by Design)
企業可在收集數據時��,為數據集創建訪問和授權權限���。當移動或存儲數據時�����,企業應將這些權限同時授予數據集��。
追蹤并使用新標準
企業應從其他合作企業處了解新標準�����,甚至應考慮加入標準團體和小組���,以適應如今技術創新日新月異的世界。
繼續教育系統用戶
企業需要對用戶進行教育�����,讓他們了解日益復雜的網絡欺詐和社會工程攻擊���。過去�����,工業控制系統的主要關注點是物理安全���。物聯網將改變這一策略���,因為在未來,企業將普遍采用無形設備�����。但是��,安全專家應及時更新物理安全控件���,為其配備防篡改技術��,防止物理作用觸發設備關機��。
結語
企業通常會謹慎制定網絡分段方案��,以提高信息物理系統的防御能力。但由于物聯網是由大量無線傳感器網絡構成的�����,因此這類防護策略并不適用。相反�����,企業能利用傳感器制造商和用戶的經驗�����,檢測到惡意行為并攔截可疑行為�����。另外��,企業可引入相關邏輯來檢測“非常規”信息流向任何設備的情況�����。企業應額外注意以下情況:當與經過授權的設備管理點之間沒有合適的握手協議時��,或者當握手來自于從未見過的源地址時���,設備固件卻收到了計劃之外的更新���。
企業和用戶必須對不同領域中的端到端安全負有最終責任���。企業能使用的可信任的系統方法越多,就越能保障其安全���。因為企業通常無法確保絕對安全���,所以必須隨時保持警惕,在發現可能的系統損害時快速做出反應���。在物聯網世界�����,監控并掌握系統的薄弱環節���,以及采用能力模型,才是最佳的應對方式�����。
在目前的大環境下���,埃森哲建議各利益相關者采取以下措施�����,以便充分把握好近期出現的機會�����,依托產業互聯網+的長期結構轉型實現收入增長:
技術提供商應通過全球安全共享平臺分享最佳安全實踐��。
公共政策制定者必須闡明并簡化其數據保護和責任政策���。
各利益相關者需要進行長期戰略研發合作,以解決最基本的技術問題���。