隨著拜登總統(tǒng)的政府開始推動(dòng)對(duì)關(guān)鍵基礎(chǔ)設(shè)施（如能源網(wǎng)、全國(guó)通信網(wǎng)絡(luò)和運(yùn)輸網(wǎng)絡(luò)）的 2.9 萬億美元投資，以及最近有關(guān)毀滅性的 DarkSide 勒索軟件攻擊破壞東海岸殖民管道的消息，現(xiàn)有和提議的系統(tǒng)對(duì)惡意行為者的脆弱性再次成為熱門話題。事實(shí)上，鑒于最近對(duì)現(xiàn)有基礎(chǔ)設(shè)施的攻擊，嵌入關(guān)鍵基礎(chǔ)設(shè)施的嵌入式系統(tǒng)的網(wǎng)絡(luò)安全可能比其物理安全更為重要。

防御這種大規(guī)?；ミB的設(shè)備網(wǎng)絡(luò)的攻擊對(duì)設(shè)備開發(fā)人員、代碼開發(fā)人員和網(wǎng)絡(luò)安全專家來說是一個(gè)巨大的挑戰(zhàn)。運(yùn)營(yíng)商必須監(jiān)控嵌入式系統(tǒng)，不僅要確保設(shè)備正常運(yùn)行，還要不斷檢查惡意活動(dòng)。導(dǎo)致設(shè)備故障的不明故障，無論是由于硬件故障還是犯罪攻擊，都可能產(chǎn)生大規(guī)模和毀滅性的影響。

構(gòu)建最健壯和防御性最強(qiáng)的基礎(chǔ)設(shè)施需要實(shí)施系統(tǒng)來評(píng)估各個(gè)級(jí)別（硬件、固件和軟件）的嵌入式設(shè)備的可靠性。在本文中，我們著眼于控制基礎(chǔ)設(shè)施物聯(lián)網(wǎng)設(shè)備的應(yīng)用程序的網(wǎng)絡(luò)安全工作進(jìn)展，以及應(yīng)用程序性能監(jiān)控的趨勢(shì)如何影響嵌入式系統(tǒng)的設(shè)計(jì)。

關(guān)鍵基礎(chǔ)設(shè)施與 IT 基礎(chǔ)設(shè)施

關(guān)鍵基礎(chǔ)設(shè)施中物聯(lián)網(wǎng)的安全問題影響深遠(yuǎn)，因?yàn)樾碌幕A(chǔ)設(shè)施投資將增加數(shù)百萬必須監(jiān)控和保護(hù)的嵌入式連接設(shè)備。每個(gè)新的嵌入式系統(tǒng)及其建立的每個(gè)連接都代表著攻擊的機(jī)會(huì)。

不幸的是，關(guān)鍵基礎(chǔ)設(shè)施是一個(gè)模糊的術(shù)語。為避免混淆，讓我們定義我們的定義。OT 或操作技術(shù)是指用于幫助監(jiān)控設(shè)備和控制任何物理過程的物理硬件。IT 或信息技術(shù)是指用于在這些設(shè)備中處理信息的軟件。但隨著物理世界的上線，OT 和 IT 之間的界限越來越模糊。物聯(lián)網(wǎng)一詞已被用來指代這種現(xiàn)象。

IT 基礎(chǔ)設(shè)施對(duì)物聯(lián)網(wǎng)生態(tài)系統(tǒng)無疑也至關(guān)重要，并且可以是總稱的一個(gè)子集。就我們而言，關(guān)鍵基礎(chǔ)設(shè)施是指拜登美國(guó)就業(yè)計(jì)劃的基礎(chǔ)設(shè)施。

使用2001 年美國(guó)愛國(guó)者法案的定義，這包括其受損“將對(duì)安全、國(guó)家經(jīng)濟(jì)安全、國(guó)家公共衛(wèi)生或安全或這些事項(xiàng)的任何組合產(chǎn)生破壞性影響”的系統(tǒng)。

物聯(lián)網(wǎng)和嵌入式系統(tǒng)將成為新基礎(chǔ)設(shè)施的主要組成部分，并將增強(qiáng)現(xiàn)有基礎(chǔ)設(shè)施的能力。

雖然關(guān)鍵基礎(chǔ)設(shè)施和IT基礎(chǔ)設(shè)施是不同的，但兩者的安全性至關(guān)重要。對(duì)IT基礎(chǔ)設(shè)施的攻擊更容易實(shí)施，但也可能產(chǎn)生類似的災(zāi)難性影響，如近年來對(duì)供水系統(tǒng)的攻擊所示。

關(guān)鍵基礎(chǔ)設(shè)施嵌入式系統(tǒng)的網(wǎng)絡(luò)安全

對(duì)基礎(chǔ)設(shè)施的突出網(wǎng)絡(luò)攻擊，加上網(wǎng)絡(luò)犯罪的普遍上升，導(dǎo)致世界各國(guó)政府將大量注意力集中在物聯(lián)網(wǎng)設(shè)備和嵌入式系統(tǒng)安全上。

去年年底，美國(guó)國(guó)會(huì)通過了《2020年物聯(lián)網(wǎng)網(wǎng)絡(luò)安全法案》，該法案加強(qiáng)了政府組織部署物聯(lián)網(wǎng)設(shè)備的安全標(biāo)準(zhǔn)。雖然該法案并不廣泛適用于關(guān)鍵基礎(chǔ)設(shè)施中的所有物聯(lián)網(wǎng)實(shí)施，但很可能會(huì)產(chǎn)生波及整個(gè)行業(yè)的連鎖反應(yīng)。

在國(guó)會(huì)辯論物聯(lián)網(wǎng)網(wǎng)絡(luò)安全法案時(shí)，國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）發(fā)布了兩份文件，將指導(dǎo)未來的物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)。物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全能力核心基線定義了保護(hù)物聯(lián)網(wǎng)設(shè)備及其數(shù)據(jù)的最低安全標(biāo)準(zhǔn)。

物聯(lián)網(wǎng)設(shè)備制造商的基本網(wǎng)絡(luò)安全活動(dòng)概述了物聯(lián)網(wǎng)設(shè)備制造商在評(píng)估要集成到設(shè)備中的網(wǎng)絡(luò)安全控制時(shí)應(yīng)采取的步驟。連續(xù)系統(tǒng)監(jiān)控是一個(gè)特定的重點(diǎn)領(lǐng)域。

歐盟也在加強(qiáng)其網(wǎng)絡(luò)安全法規(guī)，以應(yīng)對(duì)基礎(chǔ)設(shè)施威脅。去年晚些時(shí)候，歐盟開始考慮修改其關(guān)于網(wǎng)絡(luò)和信息系統(tǒng)安全的指令。

嵌入式系統(tǒng)開發(fā)人員遵循這些法律發(fā)展。雖然它們目前更具抱負(fù)性而非可操作性，但最終將導(dǎo)致特定的設(shè)備設(shè)計(jì)要求。

應(yīng)用程序性能監(jiān)視的趨勢(shì)

對(duì)于未來嵌入式系統(tǒng)網(wǎng)絡(luò)安全設(shè)計(jì)的具體想法，開發(fā)人員可以關(guān)注其他 IT 性能和安全領(lǐng)域的趨勢(shì)，例如網(wǎng)絡(luò)應(yīng)用程序性能監(jiān)控 (APM)。

然而，監(jiān)控關(guān)鍵基礎(chǔ)設(shè)施中的嵌入式系統(tǒng)的應(yīng)用程序是專門黑客的目標(biāo)。APM 將成為維護(hù)關(guān)鍵基礎(chǔ)設(shè)施安全的重要方面。嵌入式系統(tǒng)開發(fā)人員應(yīng)了解 APM 工具將如何與其設(shè)備交互，以及 APM 的趨勢(shì)將如何影響嵌入式系統(tǒng)設(shè)計(jì)要求。

簡(jiǎn)化數(shù)據(jù)收集和傳輸

現(xiàn)有網(wǎng)絡(luò)已經(jīng)遇到處理連接設(shè)備的帶寬問題。想象一下，當(dāng)連接設(shè)備的數(shù)量增加一個(gè)數(shù)量級(jí)或更多時(shí)，問題將變得多么糟糕。如果網(wǎng)絡(luò)問題中斷了嵌入式設(shè)備與其遠(yuǎn)程監(jiān)控系統(tǒng)之間的連接，則該設(shè)備更容易受到攻擊。

投資于經(jīng)驗(yàn)豐富且受過良好教育的網(wǎng)絡(luò)管理員的服務(wù)可能是一種解決方案。預(yù)計(jì)到明年，網(wǎng)絡(luò)管理作為一個(gè)職業(yè)將增加超過 42,000 個(gè)工作崗位，原因很容易理解。網(wǎng)絡(luò)管理員負(fù)責(zé)監(jiān)督網(wǎng)絡(luò)安全系統(tǒng)的安裝，根據(jù)需要實(shí)施網(wǎng)絡(luò)改進(jìn)，以及安裝或修復(fù)硬件和軟件。

如前所述，本地人工智能可能是另一種解決方案。APM 開發(fā)人員也在研究改進(jìn)的無損壓縮方法，以確保在帶寬要求有限的情況下傳輸高質(zhì)量數(shù)據(jù)。嵌入式系統(tǒng)開發(fā)人員需要繼續(xù)研究更有效的板載數(shù)據(jù)壓縮算法。

使用人工智能和機(jī)器學(xué)習(xí)

近年來，人們?cè)絹碓揭蕾嚾斯ぶ悄芎蜋C(jī)器學(xué)習(xí)來增強(qiáng) APM。以至于 Gartner 定義了 AIOps 領(lǐng)域。AIOps 旨在將 APM 的重點(diǎn)從被動(dòng)識(shí)別和糾正問題轉(zhuǎn)變?yōu)樵趩栴}發(fā)生之前主動(dòng)識(shí)別問題。

此外，AIOps 應(yīng)用 AI 在識(shí)別問題后自動(dòng)執(zhí)行補(bǔ)救活動(dòng)。嵌入式系統(tǒng)開發(fā)人員同樣可以將 AI 視為在應(yīng)用程序級(jí)別構(gòu)建主動(dòng)網(wǎng)絡(luò)攻擊識(shí)別功能的主要工具。

雖然人工智能目前用于訓(xùn)練嵌入式系統(tǒng)，但大部分訓(xùn)練都是在嵌入式設(shè)備之外進(jìn)行的。遠(yuǎn)程訓(xùn)練提供更大量更高功率的處理能力，以快速處理驅(qū)動(dòng)AI模型開發(fā)的大量數(shù)據(jù)。

然而，人工智能在邊緣的使用越來越多，嵌入式系統(tǒng)開發(fā)人員應(yīng)該考慮板載人工智能在本地執(zhí)行安全監(jiān)控任務(wù)的可行性。然而，由于 AI 模型的計(jì)算要求很高，嵌入式系統(tǒng)開發(fā)人員必須繼續(xù)集中精力減少傳統(tǒng) AI 方法的開銷，以便在本地環(huán)境中更好地應(yīng)用它們。

融合應(yīng)用和基礎(chǔ)設(shè)施監(jiān)控

嵌入式系統(tǒng)操作的每個(gè)方面都必須受到保護(hù)，無論是在其上運(yùn)行的應(yīng)用程序的底層硬件。對(duì)單個(gè)組件監(jiān)控的依賴正在讓位于更全面的系統(tǒng)操作視圖。

應(yīng)用可觀察性原則（最好與穩(wěn)健的監(jiān)控結(jié)合使用）可以更好地全面了解實(shí)時(shí)嵌入式系統(tǒng)性能，從而更好地識(shí)別異常和潛在攻擊。

自動(dòng)化

網(wǎng)絡(luò)管理員和其他 IT 專業(yè)人員幾乎不可能手動(dòng)跟上現(xiàn)代網(wǎng)絡(luò)安全計(jì)劃所需的所有數(shù)據(jù)和分析。因此，自動(dòng)化是未來網(wǎng)絡(luò)安全工作的重要組成部分。例如，雖然 APM 可有效評(píng)估攻擊的存在，但與自動(dòng)主動(dòng)識(shí)別漏洞的系統(tǒng)結(jié)合使用更為有效。

根據(jù)Cloud Defense的網(wǎng)絡(luò)安全專家 Barbara Ericson 的說法，“您可以使用傳統(tǒng)的線性漏洞掃描器或使用自適應(yīng)漏洞掃描器根據(jù)先前的經(jīng)驗(yàn)搜索特定事物。幸運(yùn)的是，如果您選擇了好的漏洞管理軟件，漏洞掃描程序可以自動(dòng)化。通過自動(dòng)化掃描，您將確保不斷評(píng)估您的組織是否存在新威脅，并且您不必在定期掃描上浪費(fèi)太多人力?！?/p>

嵌入式設(shè)備開發(fā)人員還必須繼續(xù)改進(jìn)自動(dòng)化監(jiān)控對(duì)設(shè)備或其相關(guān)應(yīng)用程序的潛在攻擊，并針對(duì)已識(shí)別的問題實(shí)施自動(dòng)糾正措施。

結(jié)論

隨著美國(guó)大力推進(jìn)基礎(chǔ)設(shè)施升級(jí)，關(guān)鍵基礎(chǔ)設(shè)施中的物聯(lián)網(wǎng)數(shù)量將呈指數(shù)級(jí)增長(zhǎng)。而這種增加必然伴隨著網(wǎng)絡(luò)攻擊威脅的增加。嵌入式設(shè)備開發(fā)人員必須重新關(guān)注在船上實(shí)施新穎的網(wǎng)絡(luò)安全控制，以確保關(guān)鍵基礎(chǔ)設(shè)施的可靠性和安全性。

審核編輯 黃昊宇