作者:Ian Beavers
物联网系统攻击正在成为头条新闻,并继续展示网络,边缘节点和网关的安全漏洞。最近的Mirai僵尸网络通过登录运行未更改默认密码的telnet服务器的设备,感染了超过250万个物联网节点。1Mirai后来能够对破坏世界大部分地区互联网访问的服务器调用拒绝服务。Reaper僵尸网络通过利用软件漏洞并感染它们来攻击超过一百万台物联网设备。一个连接互联网的鱼缸提供了进入赌场网络的入口点,导致10 GB的数据被盗。智能电视已被利用并用于间谍和监视。
嵌入式传感器系统刚刚开始连接并暴露在互联网上。作为工业物联网(IIoT)的一部分,这些传感器缺乏Web服务器在这种恶劣环境中所经历的过去二十年的发展。因此,该行业正在目睹1990年代和更早在这些系统中常见的许多攻击。IIoT系统的生命周期通常比传统计算中的生命周期长得多。某些设备在部署后可能会继续运行数十年,并且维护计划未知。
虽然服务器和PC足够复杂,可以进行安全配置,但IIoT节点通常功耗和处理能力较低。这为有意的安全措施留下了很少的功率预算。安全性在很大程度上是一种权衡,因为涉及开发成本。虽然IIoT的成本可能高于消费者物联网,但它仍然将面临可扩展性成本方面的挑战。如果忽视安全性,则在部署产品后将产生隐藏的影响,这些成本最终将需要得到解决。
传感器和执行器允许IIoT设备与物理世界进行交互。网络攻击主要限于数据丢失,尽管IIoT黑客攻击允许比过去更容易进入物理世界。攻击现在有可能造成身体伤害。这在IIoT中更为重要,因为失败可能会关闭或破坏价值数百万美元的工业流程,或导致危及生命的情况。
互联互通的世界
IIoT设备通常连接到某些网络,并且通常连接到互联网。这种连接是使他们最容易受到攻击的原因。与流行病学领域类似,感染是通过接触其他机器传播的。攻击媒介存在于系统与外部世界交互的地方。攻击者能够严格地与系统进行交互,因为他们的连接访问。要问的第一个系统设计安全问题是:“设备真的需要连接到网络吗?将其连接到网络会大大增加安全风险。
保护系统的最佳方法是防止它连接到网络或将其限制在封闭的网络。许多IIoT设备连接到网络仅仅是因为它们可能没有太多理由。将设备连接到网络的好处是否超过了与之相关的安全风险?此外,与面向互联网的系统交互的任何其他遗留系统也可能面临风险。
在许多情况下,其他安全网络和安全节点还必须与传统的现有网络进行互操作,而传统现有网络本身的安全性可能远远低于传统网络。这带来了一个新问题,因为最弱的安全风险可能不受IIoT系统的影响。在这种情况下,IIoT系统还需要保护自己免受网络内部的影响。
节点的安全注意事项:2
机密性 — 防止数据泄露给未经授权的人员,例如欺骗性攻击
身份验证 - 使用数字证书验证两台计算机之间的身份
安全引导 — ROM 引导加载程序存储可验证第二阶段引导加载程序的真实性
安全固件更新 - 仅允许制造商授权代码
授权 — 只有真实的节点才能获得网络访问权限
完整性 — 防止数据被更改
记帐 — 正确记帐数据、节点计数和时间戳有助于防止对 IIoT 网络的意外访问
安全通信 — 可驻留在低功耗节点上的加密协议
可用性 — 确保用户在需要时能够进行访问
不可否认性 — 确保不会拒绝真实的通信请求
可靠性 — 即使在恶劣的电气环境中,访问也需要可靠
图1 欺骗伪装成网关的已知节点。
隔离
将系统彼此隔离可以减少攻击面并限制恶意软件的传播。将不需要网络连接的系统与暴露于网络的系统隔离开来。对于高风险系统,考虑设置一个单独的气隙或严格监控的网络,该网络与其他网络分开。理想情况下,关键系统应与外部世界完全隔离。3
联网汽车的信息娱乐系统可能会使车辆暴露于许多以前从未见过的新攻击媒介。主机控制单元(ECU)与信息娱乐系统无关,也不应通过信息娱乐系统与之交互。虽然车辆中通常有两个独立的CAN总线将最关键的系统与其他系统分开,但它们仍然以某种方式连接在一起。仍然有可能妥协一方并控制另一方。如果这些网络之间完全隔离,那么妥协的风险将从潜在的生命威胁降低到远不那么严重的事情。
图2 可能感染IIoT系统的各种类型的恶意软件。
移动到边缘
许多IIoT系统连接到云服务器,该服务器收集和处理设备发送给它的信息,并管理设备。随着设备数量扩展到大量设备,云可能难以跟上所有这些设备的速度。许多系统正在将处理转移到IIoT设备上的边缘,以减少到云的流量。
我们经常将数据视为一种资产。数据被挖掘和出售,以发现大型数据集中的隐藏模式。但是,收集的大量数据通常不是很有用,尽管它可能对攻击者有用。敏感数据为攻击者创造了一个目标,并造成了责任。收集的数据应过滤为仅需要的数据,其余数据应尽快删除。这不仅提高了安全性,而且提高了所收集数据的实用性。识别潜在的敏感信息并消除或限制其收集非常重要。
在边缘处理数据可以减少发送和暴露给云的数据量。发送的位置数据越多,就越难对其进行保密。每个新节点都是另一个潜在的危害,数据可能会泄露。攻击面可以呈指数级增长。
将敏感数据保留在边缘可以限制攻击面,特别是机密数据。如果它被限制在一个边缘节点上,则被盗的可能性较小。在图像处理后仅通过二进制信号检测并报告车辆存在的停车占用传感器不会流式传输视频。它消除了图像中包含的大量不必要的数据。这减轻了接收服务器的负担,因此不会恶意地将其重新用于监视。
与消费者物联网系统类似,工业物联网系统也具有必须维护的专有和机密信息:
专有算法
嵌入式固件
客户信息
财务信息
资产位置
设备使用模式
竞争情报
访问更大的网络
穿过迷雾
一些IIoT设备仍然缺乏基于边缘的功率和性能。另一种正在出现的拓扑结构,即雾模型,是云和边缘系统之间的混合体。在雾模型中,边缘节点首先连接到接收数据的网关,并在将数据发送到云之前执行一些处理。许多 IIoT 设备可能有一个网关。网关不需要使用电池供电,可以在处理能力方面提供更高的预算,并且成本高于受限制的IIoT设备。
从可扩展性问题中,迷雾已经升起,但也可能在安全性方面发挥作用。网关设备可以帮助保护易受攻击的边缘节点,这些节点可能过于受限制而无法自行提供安全性,但最好提供某种级别的保护,而不是不提供保护。网关可用于帮助管理其下的所有节点,而不是直接管理每个单独的节点。雾模型还可以允许在IIoT中进行事件响应,同时避免服务中断。例如,安全性可以通过与网关交互而不是关闭任务关键型生产线来响应。
预配和部署
IIoT面临的最大挑战之一是大量设备的部署和管理。众所周知,广泛的IIoT系统难以设置和配置。由于IIoT的生命周期很长,系统可以由一个团队部署,并在几年后当另一个团队支持它时仍然可以运行。
默认情况下,IIoT系统通常不安全,身份验证机制较弱。正如Mirai僵尸网络所看到的那样,大多数用户从未登录IIoT设备进行配置。他们甚至可能不知道它们应该被配置。大多数IIoT用户认为事情只是开箱即用。默认情况下,必须确保系统安全。应设置系统期望,即用户不得配置默认设备以外的设备。弱默认密码是一个常见的错误。