互联网安全风险评估方法在过去十年发展迅速。这些风险评估方法为政府和商业组织提供了一个平台来防范相关的安全风险。随着网络系统的复杂性和自动化程度越来越高,尤其是在物联网系统领域,我们迫切需要一种新的方法来评估网络风险和建立信任体系。如果简单地扩展现有的网络风险评估方法,将无法应对物联网系统特有的安全风险。这些物联网特有的安全风险具有高连接性和数字连接性。提出了充分考虑物联网特殊性的安全风险评估方法,并严格实施。0.简介随着技术不断渗透到现代社会,这些系统的安全和信任成为一个越来越重要的问题。同时,技术的发展也带来了针对政府机构和社会组织的攻击方式的相应变化,对我们现有网络系统的安全性提出了严峻的挑战。应对此类挑战的传统方法是在目标网络上实施安全风险评估流程,包括:识别关键资产;识别系统的主要威胁;攻击成功的可能性和可能造成的伤害。风险评估过程实施后,我们可以选择合适的风险控制方法来控制网络系统风险。物联网系统通过一系列智能平台和无处不在的数字连接服务于社会。它不仅是一个信息物理系统,也是一个社会系统。这种无处不在的数据连接可以实现处理时间和自动化程度差异很大的系统之间的联系。然而,从安全和信任管理的角度来看,物联网面临的挑战是现有的风险评估方法是以前建立的。因此,可能无法满足这些复杂、广泛且高度自动化的系统的风险评估需求。因此,在采用这些方法进行物联网风险评估时,可能会妨碍我们识别其系统环境中出现的新风险。物联网风险分析过程可能与网络攻击有关,同时也可能与社会过程有关,例如社交媒体中的病毒效应。在本文中,我们分析了现有安全风险评估方法不适用于物联网系统的原因,并强调物联网系统迫切需要一种合适的风险评估方法来支持物联网系统的信任体系。只有调查物联网在各个行业的使用情况,并积极与政府和学术界合作,才能开发出这种新的物联网风险评估方法,才能更好地应对物联网面临的安全威胁。1.现有的互联网安全风险评估范式1.1 风险评估的核心概念风险评估通常被理解为识别、估计和优先排序组织资产和运营风险的过程。这是风险管理中的一项关键活动,因为它为已识别风险的安全分析提供了基础。应对风险的措施包括:在可接受的水平上接受风险,同时考虑到组织的风险偏好;使用安全控制降低风险;通过购买网络保险转移风险;或通过移除受影响的资产来规避风险。风险评估中有几个核心概念,例如资产、漏洞、威胁、攻击可能性、影响或网络危害。资产可以定义为对组织有价值的任何项目,每项资产都有许多不同的属性。例如,资产可以是有形的(例如,技术基础设施)或无形的(声誉或业务流程),也可以是系统或系统本身的小组件。漏洞是指可以非法获取资产的方法,我们可以设置漏洞保护工具来保护资产。威胁是一种会对资产产生负面影响的行为,通常涉及利用漏洞。这些行为可能是有意的(例如,窃取公司数据)或意外的(例如,成为社会工程攻击的受害者)。网络风险是这些概念的组合,考虑了威胁或成功攻击发生的可能性,以及可能对资产造成的损害。1.2 风险评估方法虽然网络安全风险评估背后的基本流程已经明确界定,但其子流程的实施方式仍具有合理的灵活性。这种灵活性导致了几种不同的风险评估方法。这些因素因评估所针对的环境和组织类型而异。这些风险评估的流行方法包括:NISTSP800-30、ISO/IEC27001、OCTAVE、CRAMM和EBIOS,这些方法都在组织内定期应用以评估风险。鉴于风险评估方法的种类繁多,我们应该分别考虑这些风险评估方法的某一方面,分析这些方法的优缺点。最重要的两个方面是方法的性质及其衡量风险的方式;这些可以在最近的调查工作中看到。就方法的性质而言,我们特别考虑了这样一个事实,即一些风险评估过程是基于关键资产及其对这些资产可能造成的危害。NIST方法就是其中之一,因此它的第一步是识别威胁源和事件。在此之后,它提倡在确定风险之前识别可能被利用的漏洞以及威胁事件的相应可能性和影响。然而,其他方法如OCTAVE强调首先识别关键资产,然后根据这些资产如何受到威胁以及威胁的后果向外构建风险评估模型。通过这个过程,可以了解风险。以资产为导向的方法的好处是它确保评估过程以关键资产而不是短暂的威胁为指导,而以威胁为导向的方法往往更好地迎合当前的威胁形势。衡量风险的定性方法也是一个争论的领域。在最流行的定性测量(例如NISTSP800-30、ISO/IEC27001、OCTAVE)中可以找到用于威胁可能性和影响评级的定性测量(例如高、中和低变化)。好处是直观的,包括设置风险偏好、衡量风险(通过威胁可能性和影响评级的组合)以及级联风险信息。然而,定性方法的缺点是其主观性和缺乏精确性。例如,一个人对威胁的感知可能与另一个人的感知不同。因此,许多定量的风险评估方法被提出来解决这个问题,这些方法的特点是引入概率来衡量风险的价值。虽然这些方法可以部分解决这个问题,但它们通常会引发其他重要问题。其中最常见的是分析的复杂性(容易出错和难以与他人沟通),以及准确估计威胁事件的概率和影响值的准确性(缺乏足够的数据)。这些方面限制了定量分析技术的应用,并且在复杂和高度互连的系统中几乎没有已知的实用或成功案例。除了上述差异化因素外,还有一些其他领域有助于风险价值评估并适用于我们的物联网环境。[2]的方法适用于风险传播或依赖的程度,以及如何以及从什么角度评估组织基础设施中的各种资源;该方法优先考虑减少已知的系统性风险,或将分析扩展到基于过去经验的未来情景和假设。2.物联网的相关动态就其本质而言,物联网是一个复杂的技术范式。图1通过从物流和制造到医疗保健和智能基础设施的各种应用程序部分描述了这种复杂性。从风险评估和信任的角度来看,出于多种原因,物联网的动态特别令人感兴趣。在下文中,我们通过检查物联网的动态来补充我们的风险评估方法,这支撑了我们在第3节中的核心论点。关于物联网的第一个警告是设备和系统规模的可变性。物联网的一个关键优势是它能够扩展(或缩小)和容纳各种新系统和“事物”,如图1所示。事实上,物联网发展的本质是扩展我们的环境和基础设施最广阔的视野。我们正在见证数字功能的增加,这些功能允许在我们建筑世界的任何方面进行远程控制和协作,从某种意义上说,没有什么是物联网的未来。物联网的另一个特点是其设备之间动态连接的时间性。IoT设备可以松散耦合以执行某些任务并在连接完成后断开连接,或者保持持久连接。考虑到对风险的影响(例如,来自未经授权设备的持续连接),了解特定物联网所需的临时性级别非常重要。物联网风险评估的最终特征因素是支持这种设备连接关系的管理和控制活动所需的资源。有限的资源将意味着物联网设备可能被迫采用有限的连接关系;或者,它们可能与云系统结合使用(见图1),这也需要对风险进行评估。可以在IoT生态系统中交互的设备之间的异质性也是一个重要特征。IoT设备通常可以跨组织访问,并且可以在线进行唯一寻址。在允许松散耦合的地方,可以有任意数量或类型的参与者,无论是设备、人还是系统,与他们或他们的资产进行交互图1,从IoT的角度来看这是理想的,但这种交互通常是为了适应任务,正如我们将在第4节中讨论的那样,从信任的角度来看,它有许多缺点,因为它会给信任管理带来问题,参与者的异质性意味着可能形成恶意关系。此外,由于某些关系可能是自发的或暂时的,因此跟踪行为不当的行为者可能具有挑战性,并且可能难以确定风险的位置或传播,因为它们可能分布在各种设备上。物联网讨论中经常被忽视的一个因素是绑定这些系统的基础设施,尤其是那些物理联网或社交联网的系统。如果我们反思物联网系统安全和信任策略的研究和实践现状,我们会发现有大量工作集中在设备组件和接口上。然而,现实情况是,这些设备绑定的过程以及允许它们耦合和操作的连接关系也是重要的考虑因素。3.当前风险评估方法在物联网中的应用物联网系统的动态特性使得使用当前的网络风险评估方法评估其风险具有挑战性。如果我们要在物联网环境中获得信任,我们必须解决一些关键因素。3.1 定期评估系统风险的定期评估通常是由组织先前的风险评估可能不再有效的可能性触发的。这些触发因素包括系统的重大变化、业务流程的变化、威胁情报以及系统中新漏洞的发现。当然,即使基于上述因素,我们仍有可能错误识别实际的风险威胁,或者我们容忍当前的风险状况而没有触发定期风险评估而导致风险的发生。周期性的风险评估方法之所以不适用于物联网,是因为物联网的动态特性,评估方法的周期性已经是一个明显的弱点。例如,物联网系统规模的可变性意味着在定期评估之间出现新系统的可能性非常高。为了使风险评估有效,定期风险评估需要能够预测下一次评估之前可能出现的新系统的某些特性,但这极具挑战性,而且通常不受当前方法的支持。3.2 系统边界变化对系统的影响风险评估目前的重点是确定系统存在的风险。迄今为止,全面了解网络系统的安全环境仍然是一个非常困难的问题。即使有一种方法可以全面了解系统的安全环境,但对于IoT来说还是不够的,因为IoT的系统可以非常快速地改变形状。即使我们可以增强当前的技术来应对潜在的变化,我们仍将面临改变系统边界的挑战。变化的频率可能如此之高,以至于我们将被迫在对系统的了解有限的情况下管理风险。对于物联网,风险评估策略必须实现一种从系统细节中抽象出风险特征的方法,以保证风险评估的正确性。风险评估策略可能存在的困难在于,这最初会导致识别出更多的潜在风险,但这些风险中的绝大多数都不会成为现实。毫无疑问,这将迫使使用威胁情报来补充这些评估。在这种情况下,我们可以使用智能威胁识别系统,同时启用智能威胁识别系统的运行,对物联网进行风险评估。3.3 连接到网络基础设施的挑战很明显,物联网将在构成网络环境的各种设备之间建立大量连接。这些连接不仅使网络通信的基础设施成为可能,而且还具有物联网的许多优势,例如:更好的信息、更好的情况意识以及更快地采取更高质量行动的能力。我们需要认识到这样一个事实,即这种基础设施不仅存在于协议和通信标准中,而且还运行在系统的每个参与者中。IoT参与者如何处理他们收到的数据,以及他们如何响应和行动,这些参与者本身的行为将对系统产生影响,而该系统将成为其他IoT参与者的输入。如果可以预测这些不同级别的参与者以及他们的行为是如何传播的,那么人们就可以寻求利用这些参与者的行为来达到恶意目的。不幸的是,现有的风险评估实践都没有试图将这种情况考虑在内。3.4 攻击平台的定义当前风险评估方法不适用于物联网的一个关键因素是网络资产仅被视为有价值的实体(因此受到保护),资产不被视为攻击平台。例如,当一家公司收购了一些资产时,他们会对这些资产进行评估,以避免这些收购资产可能带来的监管风险。如果出现此类风险并为利益相关者所知,一些组织还可能寻求增加公司的无形成本。我们专门在物联网的背景下解决这个问题,它将许多新设备和参与者带入组织系统。而这些行为者或设备都可以被攻击,成为分布式网络攻击的武器。这种观点是内部威胁等问题的延伸,对物联网风险评估提出了几个独特的挑战。4.需要新的方法来评估物联网系统的风险。目前,国家或企业对关键基础设施的风险评估方法仍然基于物理网络或社会系统的风险评估方法。虽然这些已知的方法在现有的环境背景下可以很好的应用,但是随着系统的复杂性和自动化程度的提高,在我们以后使用的物联网中,这些风险评估方法会越来越多地显示出它们的缺陷和不足。不足之处。物联网系统的风险评估挑战在于,现有风险评估方法采用的常规风险评估流程在面对高度动态的系统时可能无效。现有的网络风险评估方法对于变化如此频繁的物联网系统来说过于繁琐。当前的方法通常固有地假设一个系统及其受到攻击的方式,以及与所涉及资产相关的潜在风险。这种固有的风险评估视角无法揭示物联网系统的风险。此外,该领域瞬息万变,但我们的风险评估实践却没有跟上步伐:未能将资产视为潜在的攻击平台就是一个很好的例子。因此,我们需要自动化和实时的风险评估方法,以及开发新的配套工具来辅助模拟和建模,以提高我们的预测能力。这些将从现有的自动化技术(例如[2])和相互依赖系统中的风险分析研究中汲取灵感。核心目标是适应所有物联网动态。例如,新的方法需要考虑到关系的潜在可变性,以及一些参与者可能变得高度或高度不信任,参与者可能会改变他们的风险控制行为。绑定物联网系统及其参与者的基础设施将提供风险传播机制,并在物理、社会和经济规模上造成危害。因此,物联网参与者或设备如果改变用途,可能造成比预期更大的危害。在新的风险评估方法中也需要考虑到这一点:由于物联网环境的频繁和剧烈变化,我们无法定期评估系统。因此,我们需要一种动态的、实时的风险评估方法。我们希望可以通过行业和研究之间的密切合作来创建这种方法。
