文 |Jeff Shiner美光科技物聯(lián)網(wǎng)解決方案總監(jiān)

今年6月27日，一款名為Petya的勒索病毒變種又開始肆虐。這場(chǎng)病毒迅速蔓延，全球最大的傳播集團(tuán)WPP不幸中招，旗下眾多公司被迫切斷工作，以防電子設(shè)備感染病毒。

此次攻擊對(duì)西班牙電信公司和英國國家衛(wèi)生系統(tǒng)(NHS) 等造成了重創(chuàng)，不僅感染了電腦，還可能影響到了 NHS 中的其他聯(lián)網(wǎng)設(shè)備，例如MRI 掃描儀、血液儲(chǔ)存冰箱和手術(shù)室設(shè)備。

不幸的是，這并不是個(gè)別事件。不妨想一想：

• 去年秋季，一種名為Mirai的惡意軟件侵入到世界各地的DVR、IP 攝像頭及其他設(shè)備中，發(fā)起了重大的惡意軟件攻擊活動(dòng)，其中包括分布式拒絕服務(wù)(DDoS) 攻擊。DDoS 攻擊先是侵襲了域名系統(tǒng)(DNS) 提供商 Dyn，之后又將矛頭對(duì)準(zhǔn) Twitter、Reddit及其他重要網(wǎng)站，導(dǎo)致這些網(wǎng)站運(yùn)行中斷。

• 今年早些時(shí)候，黑客攻擊了達(dá)拉斯市的緊急警報(bào)系統(tǒng)，在整個(gè)城市拉響了警報(bào)，直攻市政基礎(chǔ)設(shè)施網(wǎng)絡(luò)防御體系中的漏洞。

隨著物聯(lián)網(wǎng)的問世，大量更重要的目標(biāo)成為了網(wǎng)絡(luò)犯罪分子的眾矢之的，因此，我們需要積極主動(dòng)地應(yīng)對(duì)這種情況并相應(yīng)地進(jìn)行規(guī)劃。

根據(jù)Sage Business Researcher的調(diào)查結(jié)果，聯(lián)網(wǎng)設(shè)備的數(shù)量預(yù)計(jì)在2020 年將達(dá)到 500 億。這一數(shù)字一直在以驚人的速度增長(zhǎng)：2016年時(shí)尚且不到 250 億，2012 年時(shí)尚且不到100 億。制造商們一直在爭(zhēng)先恐后地向市場(chǎng)投放物聯(lián)網(wǎng)設(shè)備，有些時(shí)候，并未將安全性作為優(yōu)先要?jiǎng)?wù)。

雪上加霜的是，物聯(lián)網(wǎng)并未實(shí)現(xiàn)標(biāo)準(zhǔn)化，尤其是與個(gè)人電腦(PC) 和智能手機(jī)市場(chǎng)的統(tǒng)一性相比，更是如此。物聯(lián)網(wǎng)設(shè)計(jì)受到了分散式安全實(shí)施方法的束縛，而后者又是由各種系統(tǒng)、半導(dǎo)體和軟件級(jí)選項(xiàng)決定的，這些選項(xiàng)組合到一起后，問題的復(fù)雜性大幅增加。最重要的一點(diǎn)是，提升一組物聯(lián)網(wǎng)設(shè)備的安全性并不能為數(shù)十億的其他設(shè)備帶來安全性的改進(jìn)。

現(xiàn)在有人在努力建立安全框架來指導(dǎo)OEM 在設(shè)計(jì)中融入適當(dāng)級(jí)別的安全性。推進(jìn)這些計(jì)劃的團(tuán)體提倡在軟硬件中集成重要的安全組件、設(shè)置深層防御安全性，以及實(shí)施其他策略來利用許多最新的已知解決方案。美國工業(yè)互聯(lián)網(wǎng)聯(lián)盟(IIC) 撰寫的一篇名為“工業(yè)互聯(lián)網(wǎng)安全框架”(IISF) 的文檔中就介紹了一個(gè)這個(gè)領(lǐng)域中的很好示例。此外，美國聯(lián)邦貿(mào)易委員會(huì)(FTC) 也一直在努力應(yīng)對(duì)各種威脅，例如 2015 年，它敦促物聯(lián)網(wǎng)公司采用最佳安全保護(hù)做法。

盡管做了如此多的工作，漏洞問題仍然十分嚴(yán)峻，尤其是那些《財(cái)富》100強(qiáng)之外的公司，他們無力配備強(qiáng)大的網(wǎng)絡(luò)安全人員或劃撥相應(yīng)預(yù)算，而且因?yàn)楝F(xiàn)成的物聯(lián)網(wǎng)安全解決方案缺乏統(tǒng)一性而受到阻礙。

出乎意料的是，在當(dāng)前物聯(lián)網(wǎng)系統(tǒng)所存在的最大漏洞之一“代碼存儲(chǔ)內(nèi)存”中，可能可以找到易于實(shí)施、可能也更安全的方法來應(yīng)對(duì)這種挑戰(zhàn)。通過以全新的創(chuàng)新方式來利用存儲(chǔ)技術(shù)并將其與基于云的功能結(jié)合起來，有望創(chuàng)造更強(qiáng)大的安全性。

在比較高級(jí)的安全性攻擊中，惡意代碼被寫到非易失性存儲(chǔ)中。這種情況通常發(fā)生在位于網(wǎng)絡(luò)邊緣或網(wǎng)絡(luò)邊緣附近的設(shè)備上，也就是發(fā)生在端點(diǎn)或物聯(lián)網(wǎng)中的“物”上。一旦這些設(shè)備受到感染，攻擊者便可以利用它們，與其他設(shè)備組成更大的僵尸網(wǎng)絡(luò)或單獨(dú)在目標(biāo)系統(tǒng)上行動(dòng)。在這些攻擊中，許多都是在利用現(xiàn)如今已經(jīng)發(fā)布的已知安全漏洞，并且一直在尋找可供利用的新“零日”漏洞。

2016 年底出現(xiàn)了其他一些常見的攻擊策略，其中就有基于 Mirai 的僵尸網(wǎng)絡(luò)攻擊。這種攻擊利用的是 DVR、IP 攝像頭和家用路由器等出廠時(shí)保留的不安全默認(rèn)設(shè)置的物聯(lián)網(wǎng)設(shè)備。在高峰期，這些設(shè)備對(duì)各種網(wǎng)站發(fā)起 DDoS 攻擊，其中包括 Twitter、Amazon 和 Reddit，比較諷刺的是，KrebsOnSecurity 也在被攻擊之列。

在上述兩種攻擊策略中，設(shè)備 OEM 可以采用以下長(zhǎng)期解決方案：重新設(shè)計(jì)主要硬件和軟件，部署設(shè)備和云解決方案以監(jiān)控設(shè)備的完整性并在設(shè)備受到入侵時(shí)進(jìn)行修復(fù)。

但是，哪里有弱點(diǎn)，哪里就有機(jī)會(huì)。如果可以通過加密方式對(duì)存放在存儲(chǔ)中的關(guān)鍵代碼執(zhí)行身份驗(yàn)證，并且該代碼可以成為相應(yīng)物聯(lián)網(wǎng)設(shè)備的一部分，那么，將該代碼與云中的出色功能結(jié)合起來，便可以通過端到端身份驗(yàn)證和加密固件管理極大地限制黑客在設(shè)備上植入惡意軟件的能力。

多年以來，人們一直使用一組名為“信任根”(RoT) 的功能來提高網(wǎng)絡(luò)安全性。RoT 提供通常駐留在可信計(jì)算模塊中的安全服務(wù)，并且可以由操作系統(tǒng)安全地用來驗(yàn)證設(shè)備的身份和運(yùn)行狀況，從而基本上確認(rèn)該設(shè)備是網(wǎng)絡(luò)的組成部分并且未被感染。

到目前為止，提供這種安全性的重任還是由 CPU、SoC 和硬件安全模塊 (HSM) 來擔(dān)負(fù)。不幸的是，即便是使用這些組件及其所提供的安全保護(hù)，黑客也仍然可以在物聯(lián)網(wǎng)設(shè)備中邏輯組件之下的各個(gè)級(jí)別發(fā)動(dòng)攻擊，并破壞或停止系統(tǒng)。隨著攻擊的復(fù)雜性越來越高，高級(jí)持久性威脅 (APT) 正在成為更嚴(yán)重的問題，這是因?yàn)?，黑客將注意力放在了越過物聯(lián)網(wǎng)設(shè)備的邏輯部分，將代碼植入到設(shè)備的存儲(chǔ)之中。

通過提升解決方案的更多部分的安全性（即“縱深防御”）并確保將存儲(chǔ)考慮在內(nèi)，可以提升安全性。此外，這種方法注定相對(duì)簡(jiǎn)單、成本較低、影響不大，可以更廣泛地應(yīng)用到當(dāng)今那些正遭受各種攻擊的物聯(lián)網(wǎng)設(shè)備。

美光科技正在尋求一種方法來將設(shè)備 ID 和小型加密處理功能這兩個(gè)元素直接置于存儲(chǔ)中。這些元素組合起來將生成一些信息，從而使云計(jì)算資源能夠確認(rèn)存儲(chǔ)的身份和運(yùn)行狀況以及所含數(shù)據(jù)。這樣一來，可以通過 CPU、SoC 和 HSM 加強(qiáng)最低啟動(dòng)級(jí)別及負(fù)載分流工作的安全性。

這一方法在近期微軟和美光宣布建立的安全合作伙伴關(guān)系中得到了印證。這兩家公司專注于兩個(gè)關(guān)鍵方面，從而可以簡(jiǎn)化客戶為確保物聯(lián)網(wǎng)設(shè)備正常運(yùn)行并啟用設(shè)備身份標(biāo)識(shí)而實(shí)施安全保護(hù)的方式。第一步是創(chuàng)建內(nèi)置在標(biāo)準(zhǔn)硬件中的端到端安全連接，使客戶能夠只通過軟件開發(fā)包 (SDK) 便可以提升系統(tǒng)功能。通過利用可信計(jì)算組織 (TCG) 的一種名為“設(shè)備身份合成引擎”(DICE) 的新標(biāo)準(zhǔn)，微軟 Azure 物聯(lián)網(wǎng)云和美光 Authenta?技術(shù)可幫助確保只有受信任的硬件才能訪問物聯(lián)網(wǎng)云。

該解決方案可驗(yàn)證通常用來存儲(chǔ)關(guān)鍵代碼的硬件的身份和運(yùn)行狀況，預(yù)期能為物聯(lián)網(wǎng)設(shè)備提供新的安全優(yōu)勢(shì)。有了這一身份標(biāo)識(shí)功能，Azure 物聯(lián)網(wǎng)樞紐可以驗(yàn)證設(shè)備的狀態(tài)是“好”還是“壞”，并采取相應(yīng)的后續(xù)措施，例如，啟用設(shè)備運(yùn)行狀況證明和配置等較高級(jí)的功能，以及使管理員可以在現(xiàn)場(chǎng)安全地修復(fù)受到入侵的設(shè)備。

在存儲(chǔ)中執(zhí)行物聯(lián)網(wǎng)設(shè)備身份驗(yàn)證這種方法不僅在最低啟動(dòng)級(jí)別提供了獨(dú)一無二的保護(hù)級(jí)別，還利用了數(shù)十億個(gè)物聯(lián)網(wǎng)設(shè)備中已有的標(biāo)準(zhǔn)閃存插槽。各家公司在當(dāng)前設(shè)計(jì)和舊設(shè)計(jì)中均可利用支持 Authenta 的美光閃存，通過修改軟件來實(shí)現(xiàn)新的安全功能。微軟和美光均提供了帶有軟件開發(fā)包 (SDK) 的核心中間件，以便在 Azure 中的主機(jī)上、網(wǎng)關(guān)處甚至端點(diǎn)上啟用這些解決方案，這進(jìn)一步簡(jiǎn)化了軟件資源要求。這種解決方案旨在更輕松地為新平臺(tái)和設(shè)備提供安全的物聯(lián)網(wǎng)云管理和連接，以及能夠更輕松地改進(jìn)舊系統(tǒng)。

任何一種安全機(jī)制都不是完美的，但是可以通過增添重要的縱深防御功能來提升安全性。尤其是在物聯(lián)網(wǎng)興起并且網(wǎng)絡(luò)邊緣易受攻擊設(shè)備的數(shù)量不斷增加的今天，更是如此。利用微軟和美光打造的這類全新解決方案，端到端設(shè)備管理將會(huì)更加安全，成本也會(huì)更低。監(jiān)控和管理物聯(lián)網(wǎng)設(shè)備的運(yùn)行狀況是企業(yè)要做出的最復(fù)雜決策之一。與此同時(shí)，要快速消除已知安全漏洞并使黑客的成本超出其所獲利益是非常困難的。通過利用最佳的網(wǎng)絡(luò)安全保護(hù)做法和新形成的生態(tài)系統(tǒng)，許多公司的安全實(shí)施都應(yīng)該會(huì)開始變得更加有效且開銷更低。