网络安全
美国国土安全部发布《物联网安全指导原则》
更新日期:2016年12月14日 16:39

DHS_Sign-1024x683.jpg

物联网在内的网络互联服务为社会发展创造了机会和利益,而物联网自身的安全却跟不上创新和部署的快速步伐。如今,网络连接设备无处不在,物联网的增长和普及大大方便了人们的生活,而随着国家关键基础设施更多的网络物联应用,个人和国家面临的安全威胁越来越严重,而物联网的安全问题也接踵而来,恶意攻击、信息泄露、业务中断、大规模网络攻击……网络驱动生活,物联网安全事关国家安全。

本报告向物联网设备和系统相关开发商、生产商、管理者及个人提供了一组安全规则建议,以供参考。

1 在设计开发阶段考虑安全问题

任何网络连接设备都应考虑安全问题,在设计阶段的安全建设,避免了后期因安全问题带来的潜在业务中断和高昂重建成本。而通过注重网络设备安全性,也能为生产商和服务商提供市场分化机遇。建议: 

以独特的方式设置难以破解的默认用户名密码。用户从来不会修改由生产商提供的默认用户名密码,很容易被破解。僵尸网络操作者正是利用这些默认密码信息扫描IoT设备,进行攻击感染。当然,强壮的安全控制应该是让用户具有修改禁用某些功能的权限。 

使用技术过关和经济可行的主流操作系统。许多IoT设备内置使用了一些老版本的Linux系统,造成更新不及时,带来严重安全隐患。 

使用安全集成硬件以加强设备和安全和完整性防护。例如,在处理器中嵌入安全集成芯片,并提供加密和匿名功能。 

在设计中考虑系统和操作中断因素。只有了解造成设备故障的原因,才能制订有效的安全策略,甚至在某些可行情况下,为了减缓故障的严重性,开发商应该为设备设计一种安全无损的失效模式。 

2 加强安全更新和漏洞管理

即使在设计阶段考虑了安全性,但在产品使用后还是会发现一些漏洞,这些漏洞可以通过更新和漏洞管理策略来进行缓解。对于这些缓解策略的制订者来说,应该充分考虑设备故障造成的影响、设备运行持续性和预期维修成本。而对于生产商来说,在漏洞威胁日趋严重的网络环境中,如果没有部署或设置安全更新能力,可能就会面对昂贵地召回或在遗弃不管的选择。建议: 

考虑通过网络或其它自动化方式对设备进行安全加固更新。理想情况下,补丁应该通过加密和完整性验证方式来自动化更新。 

考虑协调第三方供应商来进行软件更新,以解决和改进漏洞管理模式,确保消费者使用设备具有一整套的安全防护措施。 

开发漏洞自动化处理更新机制。例如,在软件工程领域,建立来自安全研究者和黑客社区的漏洞报告实时信息获取机制,这对软件开发人员或后期维护人员来说都能得到及时的信息反馈和响应。 

制订一个漏洞协调披露和处理政策。该政策应该涉及开发商、生产商、服务商和应急响应组织(CSIRT),通过应急响应组织,如US-CERT、ICS-CERT提供的漏洞报告进行定期的漏洞分析和预警。 

针对物联网设备制订一个使用期限策略。IoT设备不可能进行无限期的更新和升级,开发人员应了解生产商和消费者期望,考虑设备使用期限问题,并明确超出使用期限带来的安全风险。 

3 建立一套公认的安全操作方法

许多针对传统IT和网络安全的操作实践可以应用于IoT领域,这些方法可以帮助识别漏洞、检测合规性、响应预警和快速恢复。建议: 

实践基本的软件安全和网络安全做法,并通过适配、灵活和创新的方式应用于IoT生态系统。 

参考相关部门的具体实践指导。一些联邦部门制订有相关安全实践条例,如国家高速公路交通安全管理局(NHTSA)发布的《现代汽车网络安全最佳实践指南》、FDA发布的《医疗设备网络安全的售后管理》。 

执行深度防御。开发商和生产商应该采用分层防御和用户级别威胁考虑的整体安全防护策略,当某些更新升级失效时,这能很好地发挥作用。 

加入漏洞信息共享平台,积极通报漏洞,及时接收第三方安全预警。信息共享平台是提高安全风险意识的关键工具。如DHS和其下属的国家网络安全通信协调中心(NCCIC)等。 

4 优先考虑造成潜在影响的安全措施

不同的IoT系统有着不同的风险模型,如工业用户和零售用户所考虑的风险不同,而且不同用户设备造成的安全故障后果也不尽相同,而破坏、数据泄露、恶意攻击等行为将导致潜在的严重后果,应该给予重视。建议: 

了解设备的预期用途和使用环境。这将有助于开发商和生产商考虑IoT设备的技术特点、运行机制和必要的安全措施。 

以黑客和攻击者视角建立“红队”操作模式,针对应用层、网络层、数据层和物理层进行安全分析测试,由此产生的最终结果和相关缓解策略有助于优先针对某些薄弱地方增加安全措施。 

对接入网络的设备进行识别认证,尤其是针对工业和商业领域。引入安全认证功能,将使关键和重要领域用户对其组织架构内的设备和服务进行有效控制管理。 

5 促进整个物联网生命周期的透明度

开发商和生产商应该了解其组织外部供应链使用或提供的软硬件相关漏洞情况。大多数时候,因为在开发和生产过程中忽略了供应链过程和产品的安全评估,一些代成本、易使用的软硬件会为IoT设备带来很大的安全隐患。另外,由于一些不明的开源软件会应用于IoT设备的开发过程,更增加了由此产生的风险威胁。提高安全意识可以帮助制生产商和工业消费者识别、应用安全措施或建立冗余策略。根据不同产品、开发商、生产商和服务商的可能产生的风险,设置适当的威胁缓解和漏洞处理措施,如更新、产品召回或客户咨询。建议: 

进行内部或第三方供应商的端到端风险评估。为了增加安全透明度,开发商、生产商、供应商和服务商都应参风险评估过程。另外,当供应链环节发生改变时,相应的安全措施也应该进行改变或调整。 

考虑建立一个关于漏洞报告的公开披露机制,如漏洞众测模式的赏金计划等。 

在供应商和生产商之间采用明细的设备部件使用清单,以共建信任机制。一份明细清单对IoT生态系统的风险管理和威胁处理非常有用。 

6 谨慎接入互联网

在工业环境和其它关键应用领域的物联网用户,应审慎考虑是否需要把IoT设备接入网络,并清楚由此导致的中断和其它安全风险。在当前复杂的网络环境中,任何物联网设备在其生命周期内都有可能会遭到破坏,物联网设备开发商、生产商和消费者应该了解相关设备被破坏和中断对主要功能和业务运营造成的影响。建议: 

建议IoT用户明确任何网络连接性质和目的。如工业控制等一些关键环境使用的IoT设备没必要接入网络。 

配置替代性连接方案。为了加强深度防御策略,在不接入互联网的情况下,可以选择配置接入本地网络进行关键信息收集和评估。具体参考:https://ics-cert.us-cert.gov/recommended_practices

在一些选择性连接方案中,允许生产商、服务商和用户禁用特定端口和连接功能。针对不同IoT设备用途,设置用户端指导和控制方案。 

*转载来自FreeBuf(FreeBuf.COM)