淺談工業物聯網終端面(miàn)臨的安全威脅
随著(zhe)物聯網的快速發(fā)展,其面(miàn)臨的安全形勢比傳統互聯網時(shí)代的更爲嚴峻。物聯網終端這(zhè)個新角色的加入,它們的安全風險威脅著(zhe)所有接入物聯網的設備。尤其是在工業物聯網領域,往往需要集成(chéng)已部署的傳統傳感器構建工業物聯網底層。傳統傳感器本身原有的漏洞,在新的物聯網環境中更加危機四伏。本文淺顯的讨論了工業物聯網終端面(miàn)臨的安全威脅,介紹了中國(guó)AII組織和美國(guó)IIC分别發(fā)布的工業物聯網安全實施框架。
工業互聯網終端面(miàn)臨的安全威脅
目前物聯網終端的安全建設尚有很多工作要完成(chéng),尤其是傳統的部分終端,由于曆史原因,終端廠商在設計生産時(shí)并沒(méi)有考慮到物聯網應用場景,導緻終端在集成(chéng)進(jìn)物聯網中時(shí),成(chéng)爲物聯網系統不可忽視的安全漏洞。
工業物聯網終端是整個工業物聯網的基礎層,該層包含了功能(néng)各異的傳統傳感器、新型智能(néng)終端等節點。工業物聯網終端的主要安全隐患包含但不僅限于:
硬件設備攻擊
終端硬件的組件和配置被(bèi)篡改。如果在硬件架構設計上未作安全考慮,在攻擊者接觸到終端硬件後(hòu),可以利用工具直接從硬件中提取數據,查找漏洞或分析破解加密系統。攻擊者甚至直接克隆,篡改電路,加裝惡意設備,繞過(guò)軟件上的種(zhǒng)種(zhǒng)安全措施,緻使數據外洩。
對(duì)操作系統的攻擊
系統啓動進(jìn)程被(bèi)截獲或覆蓋。攻擊者通過(guò)修改終端硬件平台固件之間的接口,如UEFI或BIOS,從而改變終端功能(néng)。
劫持Guest操作系統或進(jìn)程管理程序。這(zhè)樣(yàng)攻擊者可以控制應用程序的硬件資源分配,進(jìn)而可以改變終端系統的行爲,最終可以繞過(guò)安全控制,獲得對(duì)硬件和軟件資源的訪問特權。
對(duì)業務應用的攻擊
非法更改應用程序或公共API。攻擊者通過(guò)執行惡意應用程序或重寫應用程序API達到攻擊目的。
利用部署或升級程序的漏洞。錯誤和有漏洞的部署和升級程序也可能(néng)作爲滲入點,例如,錯誤或惡意的安裝腳本和被(bèi)截獲破解的數據通信,都(dōu)能(néng)被(bèi)攻擊者利用,進(jìn)而惡意更新終端上的可執行腳本或軟件包。
網絡攻擊
海量的惡意數據訪問請求,即DDoS攻擊。如果不能(néng)正确因對(duì)DDoS攻擊,可能(néng)會(huì)妨礙終端功能(néng)的及時(shí)準确的執行。
開(kāi)放不必要的網絡服務和接口,通信協議無加密或加密強度過(guò)低,預留的維修後(hòu)門及通用的初始化弱口令等。
其他類型的攻擊
開(kāi)發(fā)時(shí)引入的漏洞。這(zhè)些漏洞往往會(huì)在代碼的架構、設計或編寫過(guò)程中引入。例如引入了安全程度較低的或惡意的第三方代碼庫,使用了不受信任的開(kāi)發(fā)框架,都(dōu)可能(néng)導緻漏洞或惡意代碼出現在終端的運行軟件中。
工業物聯網安全實施框架
在工業物聯網建設時(shí),集成(chéng)的終端往往種(zhǒng)類繁多,并且可能(néng)來自于多家廠商,因此爲了保障工業物聯網系統的安全,需要在統一安全标準和安全建設實施方面(miàn)做更多努力。作爲工業物聯網的底層,終端并非獨立存在,其安全威脅的也應放到整個工業物聯網系統的安全框架中解決。美國(guó)工業互聯網聯盟(IIC)發(fā)布了其制定的工業互聯網安全框架《Industrial Internet of Things Volume G4: Security Framework》(IISF),我國(guó)的工業互聯網産業聯盟(AII)業已起(qǐ)草發(fā)布了《工業互聯網安全框架》。
從功能(néng)視角分析IISF,其包含了六個相互關聯的功能(néng)塊,并分爲三層。頂層包含四個核心安全功能(néng)塊,即端點保護、通信&連接保護、安全監測和分析以及安全配置管理。中層是數據保護層,底層是安全模型和策略。
美國(guó)IIC發(fā)布的工業物聯網安全實施框架
工業互聯網産業聯盟(AII)起(qǐ)草發(fā)布的《工業互聯網安全框架》,從防護對(duì)象、防護措施及防護管理三個視角構建工業互聯網安全框架。針對(duì)不同的防護對(duì)象部署相應的安全防護措施,根據實時(shí)監測結果發(fā)現網絡中存在的或即將(jiāng)發(fā)生的安全問題并及時(shí)做出響應。同時(shí)加強防護管理,明确基于安全目标的可持續改進(jìn)的管理方針,從而保障工業互聯網的安全。
中國(guó)AII發(fā)布的工業互聯網安全框架