物联网安全发展趋势

物联网（IoT）市场发展迅速，终端数量剧增，安全风险大，物联网产业链安全环节占比低。物联网业务渗透到众多行业，影响着人们生活的方方面面。相应的安全问题也将构成严重威胁，甚至包括生命财产安全。本期我们将分享近期物联网安全相关的两个独立趋势，即物联网安全威胁的评估和依靠策略保障设备安全的启示。《物联网安全防御方向与技术要求指南》指出了应对物联网威胁的评估方法，强调保护物联网安全需要贯穿产品生命周期的尽职调查，尤其是在安全开发和硬件方面设计，同时注意系统组件。执行弹性测试和分析。随着物联网规模的日益扩大，物联网的安全威胁也与日俱增。如何评估物联网的安全性已成为当前的研究热点。如何评估更复杂的物联网威胁随着将我们与世界联系起来的设备和技术不断发展，网络犯罪分子正在改进他们攻击和破坏物联网(IoT)中关键系统的方法。构建经得起时间考验的物联网产品需要始终如一地将安全控制构建到软件开发生命周期和供应链中。整个供应链中的任何重大安全漏洞都可能带来重大风险。保护物联网需要在整个产品生命周期中进行尽职调查，特别是安全开发和安全硬件设计，同时对系统组件进行弹性测试和分析，以检测在生产前运行时可能出现的问题。第一个挑战是物联网具有多样化的供应链和巨大的攻击面。了解IoT生态系统和所有各种接口需要了解各种风险以及所呈现的接口在受到威胁时如何影响整个系统。对于安全团队而言，通过紧密集成的技术堆栈简化复杂架构安全任务的实施非常重要，以帮助开发团队在解决其设计中的其他安全漏洞之前建立安全基础。在开发早期对硬件、软件和基础设施进行架构分析和威胁建模，以识别可能导致安全漏洞或设计缺陷的薄弱安全控制，尽早将安全覆盖纳入开发实践对于保持安全第一而不是落后于后期周期至关重要或版本。物联网的另一个具有挑战性的方面是评估所需的广泛而深入的技能组合。所需技能包括硬件内部知识、电气工程、软件开发专业知识和自定义网络协议等。有效的评估应该成功地识别整个物联网架构中的弱点，包括软件、API、网络和移动组件。物联网审查应包括源代码审查、软件和硬件测试、取证分析和逆向工程。组织还需要深入了解其系统在遇到故障时的行为方式。混沌和弹性测试可确保将自我修复功能内置到软件和基础架构中，从而使攻击不会对系统产生级联效应。如果安全关键服务以导致传染到其他组件的方式失败，通常只能在完全部署的端到端堆栈中识别它。目前，许多研究已经开始依赖物联网策略来确保设备安全。以家庭无线路由器为例，描述物联网安全面临的问题特点，并提出解决方案：通过制定政策和标准，使物联网产品和设备合规、易用管理。建立和协调跨境安全标准是迈向更安全的物联网生态系统的重要一步。使用相同的渠道将安全性推回到供应链中。通过物联网供应链级联安全大多数家庭网络和许多工业网络的核心是“不起眼的”无线路由器。也正因为如此，它的安全性是一个突出的问题，但研究人员在过去的15年里在路由器安全方面进展甚微[1]，主要的安全漏洞不断被发现。家庭Wi-Fi路由器中的一个严重漏洞可能会为攻击者打开访问本地网络和其他连接系统的大门。路由器是物联网安全面临挑战的一个例子，这个问题的特点是依赖性扩大、安全实践不佳以及全球制造商无法覆盖单一管辖区。在一篇论文[2]中，作者建议利用供应链作为解决方案的一部分。向美国消费者销售产品通常需要物联网制造商通过美国子公司或更常见的国内分销商（如百思买或亚马逊）进行销售。FTC可以对该分销商施加监管压力，要求其仅销售符合美国网络安全机构制定的安全框架的产品。这将迫使制造商遵守此安全框架中规定的标准，包括组件供应商和原始设备制造商，以确保他们提供的组件符合公认的安全框架。公司正在寻求可测试的物联网标准，以帮助他们准确、一致地传达他们向客户销售的产品的安全性。DistributorTarget已经制定了内部流程，以确保其货架上的所有产品都符合相关的安全和质量标准。像最近的NIST内部报告8259这样的例子是这个框架的很好的候选者，使得FTC不可能认可或发布自己的标准。其他例子，如日本政府的物联网安全框架，表现出对这个问题的关注，但目前过于抽象，无法进行制造和设计过程。此外，国家标签计划将帮助分销商识别合规产品，并为消费者向制造商施加压力提供途径。最近的一项调查发现，87%的消费者认为制造商有责任保护其物联网产品。标签计划将为该市场提供另一条途径。网络空间日光浴室委员会提议成立国家网络安全认证和标签机构，这将有助于集中有关良好安全做法的市场信息，并为用户提供可访问的评级。上个月，卡内基梅隆大学的CyLab展示了物联网安全标签方案原型，该方案基于多年的工作，旨在将关键安全措施浓缩为一组简洁的文字和图像。如图1所示。图1物联网安全标签方案示例这些政策工具并不局限于美国。今年早些时候，新加坡公布了自己的Wi-Fi路由器和智能家居产品标签方案[3]，这是一个令人鼓舞的迹象，表明这可能是将安全性较低的物联网设备从全球市场上移除的关键可行方法。英国《业务守则》提供了类似的机会[4]让零售商和分销商对其销售的产品负责，为物联网制造商和服务提供商提供13条安全指南。在2019年的公众咨询后，英国政府探索了一项强制性安全标签计划，并彻底禁止销售不符合三大准则的产品：无默认密码、实施漏洞披露政策以及定期软件更新，基于关于终止使用政策。欧洲电信标准协会(ETSI)去年推出了其消费者物联网安全标准，以英国的工作为参考点，而欧盟网络安全机构发布了其“良好实践”报告，概述了物联网的基线安全建议。澳大利亚物联网联盟[5]提出的名为“Trustmark”的独立认证方案也是一个成熟的安全标签方案模板。参考文档[1]https://securityledger.com/2019/08/huge-survey-of-firmware-finds-no-security-gains-in-15-years/[2]https://www.atlanticcouncil。org/in-depth-research-reports/report/the-reverse-cascade-enforcing-security-on-the-global-iot-supply-chain/[3]https://www.straitstimes.com/singapore/cyber-security-label-for-smart-home-devices[4]https://www.gov.uk/government/publications/code-of-practice-for-consumer-iot-security/code-of-practice-for-consumer-iot-security[5]https://www.databreachtoday.com/coming-soon-trust-mark-certification-for-iot-devices-a-14459