物聯(lián)網(wǎng)系統(tǒng)攻擊正在成為頭條新聞，并繼續(xù)展示網(wǎng)絡(luò)，邊緣節(jié)點(diǎn)和網(wǎng)關(guān)的安全漏洞。最近的Mirai僵尸網(wǎng)絡(luò)通過登錄運(yùn)行未更改默認(rèn)密碼的telnet服務(wù)器的設(shè)備，感染了超過250萬個(gè)物聯(lián)網(wǎng)節(jié)點(diǎn)。1Mirai后來能夠?qū)ζ茐氖澜绱蟛糠值貐^(qū)互聯(lián)網(wǎng)訪問的服務(wù)器調(diào)用拒絕服務(wù)。Reaper僵尸網(wǎng)絡(luò)通過利用軟件漏洞并感染它們來攻擊超過一百萬臺物聯(lián)網(wǎng)設(shè)備。一個(gè)連接互聯(lián)網(wǎng)的魚缸提供了進(jìn)入賭場網(wǎng)絡(luò)的入口點(diǎn)，導(dǎo)致10 GB的數(shù)據(jù)被盜。智能電視已被利用并用于間諜和監(jiān)視。

嵌入式傳感器系統(tǒng)剛剛開始連接并暴露在互聯(lián)網(wǎng)上。作為工業(yè)物聯(lián)網(wǎng)（IIoT）的一部分，這些傳感器缺乏Web服務(wù)器在這種惡劣環(huán)境中所經(jīng)歷的過去二十年的發(fā)展。因此，該行業(yè)正在目睹1990年代和更早在這些系統(tǒng)中常見的許多攻擊。IIoT系統(tǒng)的生命周期通常比傳統(tǒng)計(jì)算中的生命周期長得多。某些設(shè)備在部署后可能會繼續(xù)運(yùn)行數(shù)十年，并且維護(hù)計(jì)劃未知。

雖然服務(wù)器和PC足夠復(fù)雜，可以進(jìn)行安全配置，但I(xiàn)IoT節(jié)點(diǎn)通常功耗和處理能力較低。這為有意的安全措施留下了很少的功率預(yù)算。安全性在很大程度上是一種權(quán)衡，因?yàn)樯婕伴_發(fā)成本。雖然IIoT的成本可能高于消費(fèi)者物聯(lián)網(wǎng)，但它仍然將面臨可擴(kuò)展性成本方面的挑戰(zhàn)。如果忽視安全性，則在部署產(chǎn)品后將產(chǎn)生隱藏的影響，這些成本最終將需要得到解決。

傳感器和執(zhí)行器允許IIoT設(shè)備與物理世界進(jìn)行交互。網(wǎng)絡(luò)攻擊主要限于數(shù)據(jù)丟失，盡管IIoT黑客攻擊允許比過去更容易進(jìn)入物理世界。攻擊現(xiàn)在有可能造成身體傷害。這在IIoT中更為重要，因?yàn)槭】赡軙P(guān)閉或破壞價(jià)值數(shù)百萬美元的工業(yè)流程，或?qū)е挛＜吧那闆r。

互聯(lián)互通的世界

IIoT設(shè)備通常連接到某些網(wǎng)絡(luò)，并且通常連接到互聯(lián)網(wǎng)。這種連接是使他們最容易受到攻擊的原因。與流行病學(xué)領(lǐng)域類似，感染是通過接觸其他機(jī)器傳播的。攻擊媒介存在于系統(tǒng)與外部世界交互的地方。攻擊者能夠嚴(yán)格地與系統(tǒng)進(jìn)行交互，因?yàn)樗麄兊倪B接訪問。要問的第一個(gè)系統(tǒng)設(shè)計(jì)安全問題是：“設(shè)備真的需要連接到網(wǎng)絡(luò)嗎？將其連接到網(wǎng)絡(luò)會大大增加安全風(fēng)險(xiǎn)。

保護(hù)系統(tǒng)的最佳方法是防止它連接到網(wǎng)絡(luò)或?qū)⑵湎拗圃诜忾]的網(wǎng)絡(luò)。許多IIoT設(shè)備連接到網(wǎng)絡(luò)僅僅是因?yàn)樗鼈兛赡軟]有太多理由。將設(shè)備連接到網(wǎng)絡(luò)的好處是否超過了與之相關(guān)的安全風(fēng)險(xiǎn)？此外，與面向互聯(lián)網(wǎng)的系統(tǒng)交互的任何其他遺留系統(tǒng)也可能面臨風(fēng)險(xiǎn)。

在許多情況下，其他安全網(wǎng)絡(luò)和安全節(jié)點(diǎn)還必須與傳統(tǒng)的現(xiàn)有網(wǎng)絡(luò)進(jìn)行互操作，而傳統(tǒng)現(xiàn)有網(wǎng)絡(luò)本身的安全性可能遠(yuǎn)遠(yuǎn)低于傳統(tǒng)網(wǎng)絡(luò)。這帶來了一個(gè)新問題，因?yàn)樽钊醯陌踩L(fēng)險(xiǎn)可能不受IIoT系統(tǒng)的影響。在這種情況下，IIoT系統(tǒng)還需要保護(hù)自己免受網(wǎng)絡(luò)內(nèi)部的影響。

節(jié)點(diǎn)的安全注意事項(xiàng)：2

機(jī)密性 — 防止數(shù)據(jù)泄露給未經(jīng)授權(quán)的人員，例如欺騙性攻擊

身份驗(yàn)證 - 使用數(shù)字證書驗(yàn)證兩臺計(jì)算機(jī)之間的身份

安全引導(dǎo) — ROM 引導(dǎo)加載程序存儲可驗(yàn)證第二階段引導(dǎo)加載程序的真實(shí)性

安全固件更新 - 僅允許制造商授權(quán)代碼

授權(quán) — 只有真實(shí)的節(jié)點(diǎn)才能獲得網(wǎng)絡(luò)訪問權(quán)限

完整性 — 防止數(shù)據(jù)被更改

記帳 — 正確記帳數(shù)據(jù)、節(jié)點(diǎn)計(jì)數(shù)和時(shí)間戳有助于防止對 IIoT 網(wǎng)絡(luò)的意外訪問

安全通信 — 可駐留在低功耗節(jié)點(diǎn)上的加密協(xié)議

可用性 — 確保用戶在需要時(shí)能夠進(jìn)行訪問

不可否認(rèn)性 — 確保不會拒絕真實(shí)的通信請求

可靠性 — 即使在惡劣的電氣環(huán)境中，訪問也需要可靠

［圖1|欺騙偽裝成網(wǎng)關(guān)的已知節(jié)點(diǎn)。

隔離

將系統(tǒng)彼此隔離可以減少攻擊面并限制惡意軟件的傳播。將不需要網(wǎng)絡(luò)連接的系統(tǒng)與暴露于網(wǎng)絡(luò)的系統(tǒng)隔離開來。對于高風(fēng)險(xiǎn)系統(tǒng)，考慮設(shè)置一個(gè)單獨(dú)的氣隙或嚴(yán)格監(jiān)控的網(wǎng)絡(luò)，該網(wǎng)絡(luò)與其他網(wǎng)絡(luò)分開。理想情況下，關(guān)鍵系統(tǒng)應(yīng)與外部世界完全隔離。3

聯(lián)網(wǎng)汽車的信息娛樂系統(tǒng)可能會使車輛暴露于許多以前從未見過的新攻擊媒介。主機(jī)控制單元（ECU）與信息娛樂系統(tǒng)無關(guān)，也不應(yīng)通過信息娛樂系統(tǒng)與之交互。雖然車輛中通常有兩個(gè)獨(dú)立的CAN總線將最關(guān)鍵的系統(tǒng)與其他系統(tǒng)分開，但它們?nèi)匀灰阅撤N方式連接在一起。仍然有可能妥協(xié)一方并控制另一方。如果這些網(wǎng)絡(luò)之間完全隔離，那么妥協(xié)的風(fēng)險(xiǎn)將從潛在的生命威脅降低到遠(yuǎn)不那么嚴(yán)重的事情。

［圖2 |可能感染IIoT系統(tǒng)的各種類型的惡意軟件。

移動到邊緣

許多IIoT系統(tǒng)連接到云服務(wù)器，該服務(wù)器收集和處理設(shè)備發(fā)送給它的信息，并管理設(shè)備。隨著設(shè)備數(shù)量擴(kuò)展到大量設(shè)備，云可能難以跟上所有這些設(shè)備的速度。許多系統(tǒng)正在將處理轉(zhuǎn)移到IIoT設(shè)備上的邊緣，以減少到云的流量。

我們經(jīng)常將數(shù)據(jù)視為一種資產(chǎn)。數(shù)據(jù)被挖掘和出售，以發(fā)現(xiàn)大型數(shù)據(jù)集中的隱藏模式。但是，收集的大量數(shù)據(jù)通常不是很有用，盡管它可能對攻擊者有用。敏感數(shù)據(jù)為攻擊者創(chuàng)造了一個(gè)目標(biāo)，并造成了責(zé)任。收集的數(shù)據(jù)應(yīng)過濾為僅需要的數(shù)據(jù)，其余數(shù)據(jù)應(yīng)盡快刪除。這不僅提高了安全性，而且提高了所收集數(shù)據(jù)的實(shí)用性。識別潛在的敏感信息并消除或限制其收集非常重要。

在邊緣處理數(shù)據(jù)可以減少發(fā)送和暴露給云的數(shù)據(jù)量。發(fā)送的位置數(shù)據(jù)越多，就越難對其進(jìn)行保密。每個(gè)新節(jié)點(diǎn)都是另一個(gè)潛在的危害，數(shù)據(jù)可能會泄露。攻擊面可以呈指數(shù)級增長。

將敏感數(shù)據(jù)保留在邊緣可以限制攻擊面，特別是機(jī)密數(shù)據(jù)。如果它被限制在一個(gè)邊緣節(jié)點(diǎn)上，則被盜的可能性較小。在圖像處理后僅通過二進(jìn)制信號檢測并報(bào)告車輛存在的停車占用傳感器不會流式傳輸視頻。它消除了圖像中包含的大量不必要的數(shù)據(jù)。這減輕了接收服務(wù)器的負(fù)擔(dān)，因此不會惡意地將其重新用于監(jiān)視。

與消費(fèi)者物聯(lián)網(wǎng)系統(tǒng)類似，工業(yè)物聯(lián)網(wǎng)系統(tǒng)也具有必須維護(hù)的專有和機(jī)密信息：

專有算法

嵌入式固件

客戶信息

財(cái)務(wù)信息

資產(chǎn)位置

設(shè)備使用模式

競爭情報(bào)

訪問更大的網(wǎng)絡(luò)

穿過迷霧

一些IIoT設(shè)備仍然缺乏基于邊緣的功率和性能。另一種正在出現(xiàn)的拓?fù)浣Y(jié)構(gòu)，即霧模型，是云和邊緣系統(tǒng)之間的混合體。在霧模型中，邊緣節(jié)點(diǎn)首先連接到接收數(shù)據(jù)的網(wǎng)關(guān)，并在將數(shù)據(jù)發(fā)送到云之前執(zhí)行一些處理。許多 IIoT 設(shè)備可能有一個(gè)網(wǎng)關(guān)。網(wǎng)關(guān)不需要使用電池供電，可以在處理能力方面提供更高的預(yù)算，并且成本高于受限制的IIoT設(shè)備。

從可擴(kuò)展性問題中，迷霧已經(jīng)升起，但也可能在安全性方面發(fā)揮作用。網(wǎng)關(guān)設(shè)備可以幫助保護(hù)易受攻擊的邊緣節(jié)點(diǎn)，這些節(jié)點(diǎn)可能過于受限制而無法自行提供安全性，但最好提供某種級別的保護(hù)，而不是不提供保護(hù)。網(wǎng)關(guān)可用于幫助管理其下的所有節(jié)點(diǎn)，而不是直接管理每個(gè)單獨(dú)的節(jié)點(diǎn)。霧模型還可以允許在IIoT中進(jìn)行事件響應(yīng)，同時(shí)避免服務(wù)中斷。例如，安全性可以通過與網(wǎng)關(guān)交互而不是關(guān)閉任務(wù)關(guān)鍵型生產(chǎn)線來響應(yīng)。

預(yù)配和部署

IIoT面臨的最大挑戰(zhàn)之一是大量設(shè)備的部署和管理。眾所周知，廣泛的IIoT系統(tǒng)難以設(shè)置和配置。由于IIoT的生命周期很長，系統(tǒng)可以由一個(gè)團(tuán)隊(duì)部署，并在幾年后當(dāng)另一個(gè)團(tuán)隊(duì)支持它時(shí)仍然可以運(yùn)行。

默認(rèn)情況下，IIoT系統(tǒng)通常不安全，身份驗(yàn)證機(jī)制較弱。正如Mirai僵尸網(wǎng)絡(luò)所看到的那樣，大多數(shù)用戶從未登錄IIoT設(shè)備進(jìn)行配置。他們甚至可能不知道它們應(yīng)該被配置。大多數(shù)IIoT用戶認(rèn)為事情只是開箱即用。默認(rèn)情況下，必須確保系統(tǒng)安全。應(yīng)設(shè)置系統(tǒng)期望，即用戶不得配置默認(rèn)設(shè)備以外的設(shè)備。弱默認(rèn)密碼是一個(gè)常見的錯(cuò)誤。

審核編輯：郭婷