企业在构建物联网解决方案时以获得安全性可能会面临巨大挑战。可以说,企业采用保护解决方案的云平台并不是什么新鲜事,并且有许多完善的实践和支持框架可以帮助企业实施正确的事情。当涉及到硬件方面,将最终连接到公共网络的嵌入式物联网设备,这对于大多数人来说,这仍然是一个未知的领域。
以下将探讨企业在采用物联网设备时应该问自己的几个问题,并提供一些答案,以帮助其使物联网设备尽可能地安全。
1. 设备的身份是什么?它是不可伪造的吗?
当企业根据网站或任何形式的在线服务对个人进行身份验证时,通常会依靠多因素身份验证(MFA)来避免假冒和身份盗用。多因素身份验证实际上使网络攻击者无法伪造其在线身份,因为他们可能无法获得身份验证所述网站或服务所需的所有证据。
例如,网络攻击者可能已经了解了某个用户的密码,甚至偷走了其手机,但是他们并不知道手机上设置的6位数密码,也不会获得指纹。简而言之:他们将无法完成登录过程并冒充用户。
那么是否可以实施类似的机制来防止物联网设备的身份盗用?其答案是使用专用硬件,例如可信平台模块(TPM)。简而言之,此类设备拥有受硬件保护的加密密钥。私钥一旦存储在模块中就永远不会离开模块,然后使用公钥来证明设备的身份。由于无法伪造密钥,因此模拟设备实际上等同于对其进行物理访问,当然,这还会带来其他安全问题。
2. 代码在哪里运行?
可信计算库(TCB)一词是指对系统安全至关重要的硬件、固件和软件组件。从之前提到的可信平台模块(TPM)到其操作系统(可能是实时的)内核,物联网设备的各个方面都将在确保系统的整体安全性方面发挥作用。
在设计物联网设备时,必须记住,值得信赖的计算基础应尽可能小。这样,可以最大程度地减少攻击面,并降低可信计算库(TCB)中的错误或风险,从而使网络攻击者可以绕过安全保护并部署恶意有效负载,例如使它们窃取有价值的业务数据。
如果可以,需要尝试构建仅允许企业发布并启用真正需要的功能的操作系统或实时操作系统。无论如何,企业的应用程序代码应在可信计算库(TCB)之外运行,以便它可以在不影响安全性的情况下正常运行。
3. 软件组件是否已分区?
看门狗定时器实际上是一个精妙的概念,如果嵌入式系统的某个组件停止响应,则可以自动触发完全重置,但有时也想知道它们是否应该首先存在。
从历史上看,并且经常由于硬件限制,嵌入式代码已被设计为一个相当单一的Blob,其中一个组件中的缺陷或漏洞有可能损害整个系统,因此需要看门狗来减轻软件故障的后果。
现在,如果除了无害的软件错误导致模块和系统挂起之外,模块可能存在漏洞,那么会发生什么?当然,人们并不希望攻击者因为某个软件模块中的缺陷而控制其整个系统。
为了减轻这种风险,安全的物联网设备应允许划分其各种软件组件,并在它们之间实现硬件强制的边界。如果建立在实时操作系统(RTOS)之上,并且可以将模块作为独立的任务或流程运行,那么其状态可能会很好。
此外,在理想情况下,企业的设备将具有一个安全模型,该模型可以限制每个软件模块可以访问的硬件资源。
4. 通过安全机制网络发布的范围是多少?
从分布式拒绝服务(DDoS)或勒索软件攻击,到使用物联网设备作为访问企业网络的方式,物联网设备可能成为黑客的诱人目标。企业应该假设其设备会被黑客攻击,黑客通常会比人们想象的更有创造力和持久性。
纵深防御源于军事领域,它是一种通过不仅在前线而且在后方部署防御资源(例如防御工事和军事单元等)来抵御攻击者的技术。
深度防御适用于物联网设备(通常为IT),包括实施多层安全控制,针对每种潜在威胁采用多种缓解措施。
例如,控制对物理总线的访问的内部防火墙、网络防火墙和安全引导的组合将极大地减少设备被破坏的机会。在攻击者不太可能通过安全引导并能够执行恶意负载的情况下,防火墙将阻止他们物理访问设备的外围设备或连接到远程第三方服务器。
5. 身份验证是基于密码还是证书?
不知道人们是否听说过shodan.io?这是一个搜索引擎,本质上是在揭示物联网最黑暗的秘密。例如“1234”和“admin”密码就是其中的一些秘密,除此之外,shodan.io允许企业在线查找未更改默认密码的物联网和网络设备。
除了由于可公开访问的设备依赖默认凭据而带来的明显威胁之外,基于密码的身份验证可能难以大规模管理。
例如,如何从被盗的密码中恢复,特别是当现场部署的数千个设备使用该密码时?另一方面,基于证书的身份验证不依赖共享机密,而是可以进行相互身份验证,从而降低了中间人攻击的风险。
6. 设备可以轻松自动更新吗?
关于物联网设备,俗话说:“如果无法更新,就无法保护它。”
为了使设备随时保持安全,它需要允许随着安全威胁的演变以及网络攻击者发现新的攻击媒介而推出安全更新。可更新设备的安全性包括,例如,推出操作系统更新(例如修复零日漏洞)或部署新证书的能力。
在理想情况下,企业还应该采取适当的硬件措施,以防止设备在更新后恢复到已知的易受攻击状态。
7. 企业的物联网设备是否报告故障?
物联网设备可能发生故障的原因有很多。例如,它可能是由于网络攻击者试图通过利用漏洞或尝试暴力破解密码来控制它。这也可能仅是由于设备碰到了极端情况,并切换到不确定状态而使其容易受到攻击。
无论出于何种原因,至关重要的是能够跟踪这些设备的故障,以便不仅可以对其进行诊断和纠正,而且还可以在有效利用这些故障之前将其隔离和减轻潜在的攻击媒介。
还有一些解决方案可以帮助报告错误。用于物联网的Azure安全中心及其关联的开源代理是如何自动收集和记录事件的很好示例,例如失败的登录尝试或来自异常IP地址的连接等。
结语
此文的灵感来自“高度安全设备的七个特性”一文,如果企业想深入研究与列出的每个高级别安全性主题相关的一些最佳做实施,则应进行对照。
最后,如果企业希望自己操作实际的设备和实际的代码,以熟悉新的领域。如果是这种情况,可以推荐Azure Sphere开发工具包作为一种工具,以掌握构建安全的物联网设备所需的工具。
该套件基于开放式硬件参考设计,该参考设计实质上实现了列举的所有属性,并确保物联网设备安全。它具有安全的、连接的微控制器单元(MCU),基于Linux的定制高级操作系统以及基于云计算的安全服务,可提供持续的可更新安全性。
目前也有许多教程和代码示例,可帮助企业使用Azure Sphere,并开始了解构建物联网设备时应注意的所有事项。
