Skip to main content Skip to Footer

埃森哲《展望》期刊


物联网时代更需要安全护航

物联网催生出许多创新商业模式和应用,同时也会引发一些新的安全和隐私问题,那么,我们如何才能防患于未然?

概要

物联网给商业世界带来的巨大价值有目共睹,比如,当特斯拉的工程师发现,汽车充电器机制故障可能导致汽车起火时,特斯拉仅通过更新软件,即为3万辆汽车修复了这个故障。通过物联网,特斯拉成功避免了承担汽车召回造成的高昂代价。

然而,在物联网催生出许多创新商业模式和应用的同时,人们也不禁担心,在商务、制造、医疗、零售和交通领域,智能互联设备控制着全球大部分核心基础设施,一旦出现物联网安全问题,后果将不堪设想。

物联网时代已经来临

高德纳咨询公司(Gartner)的数据显示,到 2020 年,互联设备(不含个人电脑、智能手机和平板电脑)总数将达到 260 亿台。物联网产品和服务供应商将创造超过 3000 亿美元的增量收入。

过去几年间,零售商通过互联设备推广新产品和服务,从而接触到更多的消费者。消费者则使用互联的医疗和健身设备,监控并交换锻炼数据和生命体征数据。随着智能家电的种类日益增多,家居生活也变得越来越智能。

与此类似的是,工业企业也在通过物联网为其供应链和设备提供支持。与其他领域的物联网应用不同,工业物联网包括数据采集与监控系统(Supervisory Control and Data Acquisition,简称 SCADA)等工业控制流程,该系统的控制范围涵盖组装汽车的机械喷漆和焊接系统,以及发电、炼油和天然气配送设备。在这些应用中,控制系统从传感器和设备网络中提取数据,在没有人工干预的情况下做出决定。可以预见的是,未来的工业流程将更加依赖于软件控制的精确度,公司也将通过自动化进一步降低成本。产业物联网正在改变各产业的运营方式(见图一)。


Zhanwang Information Security

万物互联世界的安全问题

智能互联设备在生产、生活中得到了广泛应用。在商务、制造、医疗、零售和交通领域,智能互联设备控制着全球大部分核心基础设施。然而,我们需要详细了解各领域的安全要求和工作重点。例如,信息技术(Information Technology,简称 IT)和运营技术(Operational Technology,简称 OT)的安全要求和治理机制可能相互冲突。油气生产与互联零售或互联汽车的运营和安全要求截然不同。如果对不同场景下物联网的安全需求不给予足够重视的话,事态可能迅速恶化,造成灾难性后果,正如下列场景中所描述的一样。

场景一,在工业控制系统

攻击者可通过修改控制设置或传感器数值,扰乱生产或严重破坏设备,严重时可导致机械损毁或造成人员死亡。因为许多工业控制系统(Industrial Control Systems,简称 ICS)采用高度复杂精确的机制,而这种通过软件运行和控制机械的方式,为网络攻击者提供了大量可攻击目标。

大型 ICS 规模巨大,安装此类系统代价高昂,其使用年限通常高达20年甚至更久。许多组件可能十分陈旧。如果安全人员发现了严重漏洞,更新生产系统通常会影响生产。如果技术人员提前多月安排维护窗口用于更新系统,以避免系统运行中断,则可能导致响应缓慢,加上成功的网络攻击可能带来巨大影响,使得 ICS 成为黑客们的首选攻击目标。

场景二,互联汽车

汽车行业长期以来一直使用计算机化系统,即电子控制单元(Electronic Control Unit,简称 ECU),通过传感器和执行器监控并控制引擎性能和废气排放。ECU 还通过牵引力控制、防抱死制动、电子稳定控制、预紧式安全带和安全气囊的软件控制系统改善汽车安全。

目前的车载娱乐系统已经实现与移动设备无缝整合。连接方案和控制系统已经成为现代汽车的一部分,制造商日益认识到需要保障这些系统的安全性,尤其是对控制汽车实际运行的设备进行无线更新。

场景三,无人飞行器

越来越多的机构计划利用无人飞行器(Unmanned Aerial Vehicles,简称 UAV)或无人机收集难以接近或高度危险区域的数据。

然而,为无人机配备高分辨率相机和秘密放飞无人机的行为,也带来了新的隐私方面的担忧。UAV 越来越强的负载能力也带来了新的安全威胁:如果载有炸药或枪支,商用 UAV 可能变成攻击工具。

即使是在假设和平的应用场景中,无人机系统也很容易遭到攻击。对无人机指挥和控制系统的成功攻击可能造成坠机,通过破坏导航系统窃取或控制无人机。

  

场景四,互联零售

物联网为企业带来了新的价值增长点。云计算的出现使得平台即服务(Platform-as-a-Service,简称 PaaS)和软件即服务(Software-as-a-Service,简称 SaaS)等构想成为现实。

物联网使得企业与供应商和消费者紧密联系,复杂的云和大数据分析可以帮助公司更深入地了解其客户和消费者行为。换个角度,这对于消费者隐私来说意味着什么?各实体机构可以分析或者滥用消费者的消费行为信息、地址、甚至生物识别信息!

基于上述潜在威胁,IT 安全高管们不仅需要关注物联网环境下的新兴安全挑战,还应积极思考,如何将安全保障与工作流程和产品生命周期管理结合起来。图二为我们展示了一个高级物联网架构,并简单介绍攻击者攻击物联网各部分的方式。


Zhanwang Information Security

物联网时代的安全挑战

物联网涉及领域广泛,消费者和企业都难以及时掌握安全威胁信息。事实上,企业面临若干安全挑战。

  1. 运营安全

    物联网同时连接了虚拟世界和现实世界。企业内部建立的安全模型不一定符合现实世界和运营技术的要求。

    例如,在石油生产和互联零售行业中,运营技术(OT) 领域的安全和安保要求互不相同。但由于石油生产商需要售卖石油,其零售和计费活动需要能为业务提供支持的信息技术(IT) 机制,而邮件、归档、人力资源和财务等部门则需要传统业务系统。

    企业可以利用“CIA 三要素”(即信息的保密性、完整性和可用性)来评估 IT 和 OT 领域之间的安全问题。

    在 IT 领域,企业能以系统的可用性为代价,保护信息的保密性和完整性——随着移动操作系统和硬件平台数量日益增长,如果补丁在部署前没有得到充分测试,应用程序会出现故障,引发客户不满。企业可能会为安全更新进行临时维护,而牺牲服务的可获得性。

    在 OT 领域,可用性是重中之重。有人认为由于这一领域的保密信息较少,可以保密性为代价优先确保可获得性。然而,OT 领域仍然存在保密信息。制造专业润滑油、药品甚至软饮料都需要制造商为获得竞争优势而开发的独有配方和原料。复杂的间谍软件攻击,例如利用蜻蜓(Dragonfly)攻击以制药企业为目标的多段式攻击近年数量有所上升,此种攻击能秘密访问 IP 和其他 OT 领域的保密信息。

    同时,IT 领域的可用性仍然举足轻重;视频会议或直播服务要求企业必须保护服务的可用性,同时确保低延迟。即使所播放的保密信息安全性高,一旦服务不稳定,业务便会迅速流失。

    在 IT 和 OT 领域中,信息的完整性也十分必要。如同工业控制系统一样,保障数据完整性是信息可用性的基础。IT 和 OT 领域之间复杂的运营和安全互动以及与之相关的问题,要求企业采用新的思维方式。

    然而,适用于所有用例的“万金油”并不存在,企业不应认定传统的防御方式足以长期抵御恶意攻击。震网病毒证明零日攻击(zero day)可以利用并窃取证书,而高度集中的多段式攻击策略能极其有效地攻破防御并持续躲避检测。

    因此企业该如何探查以躲避检测为目的的隐蔽攻击者呢?企业可以购买计算能力和复杂算法,通过装载分析和模式发现软件,即时检测恶意软件。通过对 IT 和 OT 领域的遥测(Telemetry)数据进行非干扰式分析,检测并关联系统行为中的微小变化,企业能够设置新的安全警报,对表明存在恶意软件的异常行为提高警惕,在恶意软件达成目的之前采取行动。

  2. 治理模式

    当 OT 和 IT 系统融合为统一的平台,风险、治理模式和合规行为将发生哪些变化?这种融合系统一旦出现故障,便会带来严重且影响深远的后果。

    企业只能通过设立同时适应两种情况的安全治理模式,才能实现有效的端对端安全管理。为了达到这一目的,企业必须确定人员、责任和行动安排,也需要建立清晰的对话机制。OT和IT领域的不同要求催生了不同的术语和操作实践,因此有效而全面的治理模式需要结合IT和OT两方面的经验,从而建立并协调综合安全策略和事件响应机制。

    以此对应的是企业组织变革的需求,这些组织变革需求包括设立首席风险官职位,令其负责协调IT和OT领域,或开发更加联合的模式,使首席信息安全官(CISO)在制定商业决策时握有话语权,从而确保将端对端安全纳入首要考虑范围。

  3. 数据保障

    企业应将数据保障也当做安全治理的必要组成部分。企业必须在数据层面采用安全方法,在产品的整个生命周期(从诞生到弃用)坚持执行数据保障策略,以此作为数据治理和应对完整性挑战的潜在解决方案。

    幸运的是,几种以数据为中心的安全技术均以在多平台上提供数据保护执行策略为目的。Voltage Security(由惠普收购),Informatica、Protegrity 等公司专注于开发以数据能力为中心的解决方案,例如数据分类和发现、数据安全策略管理、用户权限和活动监控、审查和报告,以及数据保护。低质量和低保障的数据会干扰决策流程,增加获取洞察的总成本。

    由于企业建立了用于大规模、高速收集和处理数据的基础架构,他们同样应该采取与之相符的数据保障和审查框架,以配合数据扩展。企业必须考虑使用专为大数据应用程序设计的数据质量工具。高德纳咨询公司的魔力象限(Magic Quadrant)数据质量工具深入介绍了当下的供应商现状,以及他们所用的工具将数据作为资产进行处理的能力。

  4. 隐私期望

    大数据收集会引发关于隐私和保密性的新担忧。

    远距离读取射频识别(radio frequency identification,简称 RFID)标签或低功耗蓝牙(Bluetooth low energy,简称 BTLE)信标(iBeacon)让人们能够对地点或个人进行定位。此外,黑客可以控制监视器、摄像头和麦克风的设备驱动程序,用来“监视”个人,获取密码等数据。

    在通过生物统计传感器测量个人健康状况的可穿戴技术问世之后,人们日益关注自己的运动和饮食需求。但绝大部分可穿戴设备尚未获得医疗行业的认可。它们收集的资料不在 HIPPA 法案的保护范围之内。不受监管的第三方获取并分析这些数据,从中提取关于个人身体情况的详细隐私资料。

  5. 软件修补

    由于每天都有新的软件漏洞出现,企业需要具备更优异的物联网响应方式。与传统的 IT 设备或消费者技术不同,许多物联网设备并没有用于下载和安装安全更新的交互界面。在消费者领域,这种情况更加严重。人们会购买并安装互联设备,却很少意识到安全和隐私问题。

    因此,企业必须开始思考如何在互联产品中建立信任基础。显然,消费者缺乏安全意识不能当做不作为的借口——企业需要为互联设备网络安装新的安全控制功能,让物联网用例有利于用户,避免产生潜在危害。

    但对于产业用例而言,为物联网设备集中修补漏洞并不可行,因为这会导致服务中断。由于物联网用例越发复杂,通信协议和新的互联设备组合要求供应商确保它们严格遵循安全发展实践。它们还需要编写适应性强的代码,以安全的方式处理意外或不合规的输入。如此一来,终端攻击的数量和对软件补丁的需求便可减少。但企业也并不可能完全摆脱需要修补软件的情况。然而,企业可以将网络攻击者用于访问系统的隐蔽技术重新定向,并安装作为替代型递送模式的软件。

  6. 通信协议多种多样

    物联网中的通信协议多种多样,因此与采取超文本传输协议(HTTP)的网络相比,物联网所面临的安全问题更为严峻。没有任何一种安全协议能够适用于所有情况。

    企业必须意识到只有当物联网解决方案囊括了不同类型的协议和设备时,安全才能通过端到端机制产生效用。安全构架师必须直面挑战,找出每个物联网通信协议所对应的且行之有效的安全机制,并确保这些机制符合企业治理模式所规定的成本、绩效和隐私要求。

  7. 数字身份验证

    如今,许多物联网设备依赖于硬编码访问密钥,因此容易遭受暴力攻击和欺骗攻击。此外,每个系统的证书类型各不相同,因而在系统上存储和使用证书的方法也不一样。而在物联网系统中,这些验证问题必须加以解决。

    因此,企业亟需为每一个人和每一台设备提供独特身份的模型,而且这个模型必须能独立判断是否应该进行信息交换。它必须能正确地识别不同的物联网设备,只有托管设备能自由访问或连接企业网络中的其他设备和应用。

  8. 访问管理

    访问管理领域的挑战主要涉及两个问题:“访问主体和访问对象是什么?”和“访问的目的是什么?”在传统的用户访问管理中,需要验证用户名(和密码)。

    物联网所面临的挑战在于:人所使用的目录服务或应用程序用户数据库有通用的标准,而物联网中的传感器和设备并没有类似的通用标准。企业往往需要决定最适合每个实施步骤的方法(如基于能力的控制)。

    同时安全经理也需要再次确认最适合每个实施步骤的方法。基于数字身份验证的访问管理应采用声明式验证技术,允许进行更多的动态访问控制。受访系统应根据设备的状态、身份和地址,提供具体级别的授权访问或者拒绝访问。

  9. 时间服务

    判定“何人或何物在何时做了何事”的能力是基本的安全要求,因此时间也是安全机制的重要组成部分。许多物联网设备(如 NFC 智能卡,NFC 即 Near Field Communication,近场通信技术)所面临的问题是它们并不涉及时间这一概念。因此,日志记录系统需要囊括多种用于识别并关联事件的方法。

  10. 应对故障/网络事件而设计的解决方案

    企业应设计解决方案,以应对因网络事件而导致的不同程度的故障。解决方案之一便是使用适应性更强的软件,尤其是能够抵抗一定程度的网络攻击的自我修复软件,而非那些每隔一段时间就需要安装补丁的软件。这种软件的设计理念应涵盖多种替代型安全措施,当一种安全控制措施失效时,可启动“故障转移”,采用另一种安全措施。

    换言之,仅有一处安全漏洞并不会导致整个系统受损;应随时准备好备份机制,应对网络故障。

如何防患于未然?

为了安全地运用新兴的物联网技术,数字企业需要正确地认知周遭环境并自动对变化作出反应。

  1. 在互联产品中建立信任基础

    产品从构思到制造的所有阶段,都应该遵循“安全设计”原则。在系统的初始配置阶段,设计师应内置运行控件,以验证所有部件的行为都遵循预期运行规范。设计活动应包括对系统威胁和风险状况的全面分析。针对极有可能导致严重后果的威胁,应改善相应的工程设计流程。同时,制定应急计划。

  2. 在运营层面建立全新思维模式

    企业需要不断地监控物联网的运行和安全状况。这是大数据领域的挑战,因而需要大数据解决方案。此外,物联网系统可能会包括类似系统的片段。因此,企业需要设计出能修复故障的解决方案并侧重于增强系统的适应能力。首先需要做的是通过机器学习和有效反应机制,建立异常检测能力。

  3. 建立情境化的威胁模型

    物联网会催生新的商业模式,为了提高安全程序的成效,确定业务目标和安全运行之间的联系十分必要。企业应量身定制威胁模型,其中应包括关键业务目标,基础技术构架以及可能会损害业务的潜在威胁。情境化的威胁模型能对潜在的物联网安全威胁进行排序,并识别传统控制方法无法应对的盲点。

  4. 吸取移动和信息物理系统安全经验

    尽管物联网系统和应用程序与移动和信息物理系统(Cyber-Physical Systems,简称 CPS,为嵌入式系统)平台有所关联,但两者并不完全相同。即便如此,企业应从这些物联网先驱者们遇见的困难和教训中汲取经验。

  5. 隐私设计(Privacy by Design)

    企业可在收集数据时,为数据集创建访问和授权权限。当移动或存储数据时,企业应将这些权限同时授予数据集。

  6. 追踪并使用新标准

    企业应从其他合作企业处了解新标准,甚至应考虑加入标准团体和小组,以适应如今技术创新日新月异的世界。

  7. 继续教育系统用户

    企业需要对用户进行教育,让他们了解日益复杂的网络欺诈和社会工程攻击。过去,工业控制系统的主要关注点是物理安全。物联网将改变这一策略,因为在未来,企业将普遍采用无形设备。但是,安全专家应及时更新物理安全控件,为其配备防篡改技术,防止物理作用触发设备关机。

结语

企业通常会谨慎制定网络分段方案,以提高信息物理系统的防御能力。但由于物联网是由大量无线传感器网络构成的,因此这类防护策略并不适用。相反,企业能利用传感器制造商和用户的经验,检测到恶意行为并拦截可疑行为。另外,企业可引入相关逻辑来检测“非常规”信息流向任何设备的情况。企业应额外注意以下情况:当与经过授权的设备管理点之间没有合适的握手协议时,或者当握手来自于从未见过的源地址时,设备固件却收到了计划之外的更新。

企业和用户必须对不同领域中的端到端安全负有最终责任。企业能使用的可信任的系统方法越多,就越能保障其安全。因为企业通常无法确保绝对安全,所以必须随时保持警惕,在发现可能的系统损害时快速做出反应。在物联网世界,监控并掌握系统的薄弱环节,以及采用能力模型,才是最佳的应对方式。

在目前的大环境下,埃森哲建议各利益相关者采取以下措施,以便充分把握好近期出现的机会,依托产业互联网的长期结构转型实现收入增长:

  • 技术提供商应通过全球安全共享平台分享最佳安全实践。

  • 公共政策制定者必须阐明并简化其数据保护和责任政策。

  • 各利益相关者需要进行长期战略研发合作,以解决最基本的技术问题。



作者简介


艾伦·霍顿
埃森哲数字服务业务数字移动/
物联网安全主管
常驻伦敦

发送邮件 拉贾哈夫·纳萨雷. 这将打开一个新窗口。

迈克尔·泰西曼
埃森哲安全服务业务物联网/
产业物联网安全能力主管
常驻阿姆斯特丹

发送邮件 拉贾哈夫·纳萨雷. 这将打开一个新窗口。

帕布罗·瓦奎罗
埃森哲安全服务业务“安全助力发展”移动/物联网安全主管
常驻洛萨里奥

发送邮件 拉贾哈夫·纳萨雷. 这将打开一个新窗口。