信息化觀察網(wǎng)

企業(yè)在采用網(wǎng)絡(luò)安全產(chǎn)品以確保物聯(lián)網(wǎng)設(shè)備安全時，應該問自己幾個問題。

企業(yè)在構(gòu)建物聯(lián)網(wǎng)解決方案時以獲得安全性可能會面臨巨大挑戰(zhàn)?？梢哉f，企業(yè)采用保護解決方案的云平臺并不是什么新鮮事，并且有許多完善的實踐和支持框架可以幫助企業(yè)實施正確的事情。當涉及到硬件方面，將最終連接到公共網(wǎng)絡(luò)的嵌入式物聯(lián)網(wǎng)設(shè)備，這對于大多數(shù)人來說，這仍然是一個未知的領(lǐng)域。

以下將探討企業(yè)在采用物聯(lián)網(wǎng)設(shè)備時應該問自己的幾個問題，并提供一些答案，以幫助其使物聯(lián)網(wǎng)設(shè)備盡可能地安全。

1.設(shè)備的身份是什么?它是不可偽造的嗎?

當企業(yè)根據(jù)網(wǎng)站或任何形式的在線服務(wù)對個人進行身份驗證時，通常會依靠多因素身份驗證(MFA)來避免假冒和身份盜用。多因素身份驗證實際上使網(wǎng)絡(luò)攻擊者無法偽造其在線身份，因為他們可能無法獲得身份驗證所述網(wǎng)站或服務(wù)所需的所有證據(jù)。

例如，網(wǎng)絡(luò)攻擊者可能已經(jīng)了解了某個用戶的密碼，甚至偷走了其手機，但是他們并不知道手機上設(shè)置的6位數(shù)密碼，也不會獲得指紋。簡而言之：他們將無法完成登錄過程并冒充用戶。

那么是否可以實施類似的機制來防止物聯(lián)網(wǎng)設(shè)備的身份盜用?其答案是使用專用硬件，例如可信平臺模塊(TPM)。簡而言之，此類設(shè)備擁有受硬件保護的加密密鑰。私鑰一旦存儲在模塊中就永遠不會離開模塊，然后使用公鑰來證明設(shè)備的身份。由于無法偽造密鑰，因此模擬設(shè)備實際上等同于對其進行物理訪問，當然，這還會帶來其他安全問題。

2.代碼在哪里運行?

可信計算庫(TCB)一詞是指對系統(tǒng)安全至關(guān)重要的硬件、固件和軟件組件。從之前提到的可信平臺模塊(TPM)到其操作系統(tǒng)(可能是實時的)內(nèi)核，物聯(lián)網(wǎng)設(shè)備的各個方面都將在確保系統(tǒng)的整體安全性方面發(fā)揮作用。

在設(shè)計物聯(lián)網(wǎng)設(shè)備時，必須記住，值得信賴的計算基礎(chǔ)應盡可能小。這樣，可以最大程度地減少攻擊面，并降低可信計算庫(TCB)中的錯誤或風險，從而使網(wǎng)絡(luò)攻擊者可以繞過安全保護并部署惡意有效負載，例如使它們竊取有價值的業(yè)務(wù)數(shù)據(jù)。

如果可以，需要嘗試構(gòu)建僅允許企業(yè)發(fā)布并啟用真正需要的功能的操作系統(tǒng)或?qū)崟r操作系統(tǒng)。無論如何，企業(yè)的應用程序代碼應在可信計算庫(TCB)之外運行，以便它可以在不影響安全性的情況下正常運行。

3.軟件組件是否已分區(qū)?

看門狗定時器實際上是一個精妙的概念，如果嵌入式系統(tǒng)的某個組件停止響應，則可以自動觸發(fā)完全重置，但有時也想知道它們是否應該首先存在。

從歷史上看，并且經(jīng)常由于硬件限制，嵌入式代碼已被設(shè)計為一個相當單一的Blob，其中一個組件中的缺陷或漏洞有可能損害整個系統(tǒng)，因此需要看門狗來減輕軟件故障的后果。

現(xiàn)在，如果除了無害的軟件錯誤導致模塊和系統(tǒng)掛起之外，模塊可能存在漏洞，那么會發(fā)生什么?當然，人們并不希望攻擊者因為某個軟件模塊中的缺陷而控制其整個系統(tǒng)。

為了減輕這種風險，安全的物聯(lián)網(wǎng)設(shè)備應允許劃分其各種軟件組件，并在它們之間實現(xiàn)硬件強制的邊界。如果建立在實時操作系統(tǒng)(RTOS)之上，并且可以將模塊作為獨立的任務(wù)或流程運行，那么其狀態(tài)可能會很好。

此外，在理想情況下，企業(yè)的設(shè)備將具有一個安全模型，該模型可以限制每個軟件模塊可以訪問的硬件資源。

4.通過安全機制網(wǎng)絡(luò)發(fā)布的范圍是多少?

從分布式拒絕服務(wù)(DDoS)或勒索軟件攻擊，到使用物聯(lián)網(wǎng)設(shè)備作為訪問企業(yè)網(wǎng)絡(luò)的方式，物聯(lián)網(wǎng)設(shè)備可能成為黑客的誘人目標。企業(yè)應該假設(shè)其設(shè)備會被黑客攻擊，黑客通常會比人們想象的更有創(chuàng)造力和持久性。

縱深防御源于軍事領(lǐng)域，它是一種通過不僅在前線而且在后方部署防御資源(例如防御工事和軍事單元等)來抵御攻擊者的技術(shù)。

深度防御適用于物聯(lián)網(wǎng)設(shè)備(通常為IT)，包括實施多層安全控制，針對每種潛在威脅采用多種緩解措施。

例如，控制對物理總線的訪問的內(nèi)部防火墻、網(wǎng)絡(luò)防火墻和安全引導的組合將極大地減少設(shè)備被破壞的機會。在攻擊者不太可能通過安全引導并能夠執(zhí)行惡意負載的情況下，防火墻將阻止他們物理訪問設(shè)備的外圍設(shè)備或連接到遠程第三方服務(wù)器。

5.身份驗證是基于密碼還是證書?

不知道人們是否聽說過shodan.io?這是一個搜索引擎，本質(zhì)上是在揭示物聯(lián)網(wǎng)最黑暗的秘密。例如“1234”和“admin”密碼就是其中的一些秘密，除此之外，shodan.io允許企業(yè)在線查找未更改默認密碼的物聯(lián)網(wǎng)和網(wǎng)絡(luò)設(shè)備。

除了由于可公開訪問的設(shè)備依賴默認憑據(jù)而帶來的明顯威脅之外，基于密碼的身份驗證可能難以大規(guī)模管理。

例如，如何從被盜的密碼中恢復，特別是當現(xiàn)場部署的數(shù)千個設(shè)備使用該密碼時?另一方面，基于證書的身份驗證不依賴共享機密，而是可以進行相互身份驗證，從而降低了中間人攻擊的風險。

6.設(shè)備可以輕松自動更新嗎?

關(guān)于物聯(lián)網(wǎng)設(shè)備，俗話說：“如果無法更新，就無法保護它。”

為了使設(shè)備隨時保持安全，它需要允許隨著安全威脅的演變以及網(wǎng)絡(luò)攻擊者發(fā)現(xiàn)新的攻擊媒介而推出安全更新?？筛略O(shè)備的安全性包括，例如，推出操作系統(tǒng)更新(例如修復零日漏洞)或部署新證書的能力。

在理想情況下，企業(yè)還應該采取適當?shù)挠布胧?，以防止設(shè)備在更新后恢復到已知的易受攻擊狀態(tài)。

7.企業(yè)的物聯(lián)網(wǎng)設(shè)備是否報告故障?

物聯(lián)網(wǎng)設(shè)備可能發(fā)生故障的原因有很多。例如，它可能是由于網(wǎng)絡(luò)攻擊者試圖通過利用漏洞或嘗試暴力破解密碼來控制它。這也可能僅是由于設(shè)備碰到了極端情況，并切換到不確定狀態(tài)而使其容易受到攻擊。

無論出于何種原因，至關(guān)重要的是能夠跟蹤這些設(shè)備的故障，以便不僅可以對其進行診斷和糾正，而且還可以在有效利用這些故障之前將其隔離和減輕潛在的攻擊媒介。

還有一些解決方案可以幫助報告錯誤。用于物聯(lián)網(wǎng)的Azure安全中心及其關(guān)聯(lián)的開源代理是如何自動收集和記錄事件的很好示例，例如失敗的登錄嘗試或來自異常IP地址的連接等。

結(jié)語

此文的靈感來自“高度安全設(shè)備的七個特性”一文，如果企業(yè)想深入研究與列出的每個高級別安全性主題相關(guān)的一些最佳做實施，則應進行對照。

最后，如果企業(yè)希望自己操作實際的設(shè)備和實際的代碼，以熟悉新的領(lǐng)域。如果是這種情況，可以推薦Azure Sphere開發(fā)工具包作為一種工具，以掌握構(gòu)建安全的物聯(lián)網(wǎng)設(shè)備所需的工具。

該套件基于開放式硬件參考設(shè)計，該參考設(shè)計實質(zhì)上實現(xiàn)了列舉的所有屬性，并確保物聯(lián)網(wǎng)設(shè)備安全。它具有安全的、連接的微控制器單元(MCU)，基于Linux的定制高級操作系統(tǒng)以及基于云計算的安全服務(wù)，可提供持續(xù)的可更新安全性。

目前也有許多教程和代碼示例，可幫助企業(yè)使用Azure Sphere，并開始了解構(gòu)建物聯(lián)網(wǎng)設(shè)備時應注意的所有事項。