能否在物聯網領域構建乙個通用的安全模型?

2021-09-30 21:10:25 字數 3162 閱讀 8930

因為缺乏人類的監督,也沒有常見的安全手段可以使用,無數的、不同型別的物聯網裝置正在成為潛在的攻擊目標。這些裝置包括汽車、電動發動機、供水水幫浦等等……

烏克蘭電力公司的網路系統在2023年年末時遭到黑客攻擊,導致西部地區大規模停電。在該起事件中,多座變電站處於離線狀態,超過230000個家庭和辦公室遭遇了長達6小時的停電。「襲擊者甚至還修改了關鍵裝置的韌體,使得它們不能被遠端控制和切斷開關,其它裝置在之後的好幾月內都必須手動控制」,

thingworx產品管理高階主管rob black說到。

圖:thingworx產品管理高階主管rob black

這是有史以來首次導致停電的網路攻擊,此次針對工控系統的攻擊無疑具有里程碑意義,引起國內外**高度關注。據報道,本次攻擊來自俄羅斯黑客組織,使用的惡意軟體被稱為blackenergy(黑暗力量)。

圖:blackenergy 攻擊過程

又在去年7月,兩名黑客遠端控制了一輛大切諾基,使其在高速公路上以每小時70英里的速度行駛。他們通過無線控制雨刷的開啟和關閉,把空調開到最大,並在行駛過程中切換了不同的電台廣播,然後禁用傳輸功能,所以這輛吉普車行至州際公路時放緩了速度。

這兩名黑客是為了宣傳汽車所面臨的物聯網所帶來的安全風險,而其也的確產生了效果——最終導致140萬輛汽車被召回,不得不針對他們的系統打補丁。

不幸的是,面臨物聯網所帶來的安全問題,大部分企業並不能僅僅通過召回汽車和修補他們的計算系統就能夠輕易解決的。企業當前所面臨的最大問題是:鑑於物聯網裝置已經在整個企業範圍內得到廣泛的使用和傳播,企業的生產環境到底有多安全?而通過這些物聯網裝置來入侵企業網路有多容易?企業如何保護自身的安全?

物聯網安全和雲平台的安全不同

物聯網的安全和雲不同,雲有定義明確的安全模型和有限的入口點,而物聯網由於裝置型別、作業系統和協議的不同,攻擊目標更加廣泛。

在雲平台的使用者管理方面,通常只需要針對特定專案給乙個特定的人授予訪問許可權。然而物聯網裝置,需要更複雜的授權和許可權模型。物聯網裝置可以作為乙個個體或者乙個個體的代表來進行自我驗證。

一些公司也意識到了這種危險,但是由於他們還沒有大規模使用物聯網應用程式,所以並沒有採取相應行動。但是他們真的知道他們到底有多少裝置已經連線到網路並且暴露於風險之中嗎?

shodan是一種專門搜尋聯網裝置的搜尋引擎,它不像google等傳統的搜尋引擎,利用web爬蟲去遍歷你整個**,而是直接進入網際網路的背後通道,審計裝置的各類埠,一刻不停的尋找著所有和網際網路關聯的裝置。

每個月shodan都會在大約5億個網路裝置上日夜不停地蒐集資訊,它的搜尋能力是極其驚人的,包括無數交通燈、安全攝像頭、家庭自動化裝置、冰上曲棍球球場,甚至工廠的控制系統和核電站。大部分的這些裝置經由製造商或者第三方通過乙個內部應用程式連線到網路。

大部分這些裝置只有非常有限的安全功能,許多情況下,連線裝置甚至不需要密碼。就算有,也在使用「admin」這樣的使用者名稱和「1234」這樣非常簡單的密碼。70%的裝置還是在以文字格式溝通,即使使用更安全的密碼,攻擊這些裝置依然很容易。

數以百萬的裝置也在使用非常過時的軟體版本——這些軟體的漏洞和弱點簡直眾所周知。所以,很多公司的問題根本不在於如何開始乙個物聯網專案,他們的問題在於如何管理和保護現有的那些未知部分的物聯網裝置。

乙個可能的通用安全模型

目前還沒有專門針對物聯網的通用安全模型,然而,可以把如下圖所示的安全體系架構作為基礎。

圖1.物聯網涵蓋的元素和互動物件

在圖1裡,我將物聯網中涵蓋的不同元素和它們互動的物件標示了出來。

1.裝置是聯網的真實物件

2.網路基礎設施將裝置連線到物聯網平台

3.運營平台為應用程式提供了開發的基礎設施

4.物聯網平台是一套元件,它可以與裝置通訊,可以對裝置進行管理,還能執行應用程式

5.發展指的是物聯網應用程式的實現過程

6.應用程式通過監測、管理和控制網路裝置創造了額外的業務價值

圖2.乙個通用安全模型

圖2給出的通用安全模型解釋了物聯網安全責任應該如何在不同合作方之間進行劃分。從頂部開始,客戶負責保護各種裝置,拒絕未經授權的訪問並且管理使用者賬戶。

物聯網平台通過整合顯示和無需編碼即可使用的許可權簡化了任務。例如,地區、部門和位置可以被定義,使用者只能訪問自己地區的物件而不能訪問其它地區的。職能角色也可以在乙個組織之中建立,比如「服務管理者」,「服務管理者」的角色也可以被分配給新使用者,而新使用者可以自動接收被分配角色的所有權利。

理想情況中,在連線伺服器的幫助下,當平台本身位於防火牆之內的話,物聯網平台將提供在「隔離區(dmz)」工作的選項。如果物聯網平台處於內部網路,那麼即使是最堅定的外部攻擊,也會遇到很大的困難。好的網路概念可以幫助組織更好地保護他們的物聯網基礎設施。

sql注入是十大問題之一,它是指程式把使用者輸入的一段字串直接用在了拼湊sql語句上,導致了使用者可以控制sql語句,比如加入delete的行為、繞過使用者密碼驗證等。解決方式是使用引數形式呼叫sql/使用儲存過程(儲存過程中不要使用動態sql拼語句)/使用linq, ef等框架來寫(不要使用裡面的直接拼sql語句的方式)。物聯網平台可以通過parameterising 輸入(parameterising input)和直接停止sql查詢的方式來防止這種攻擊。

然而,一些物聯網安全的責任應該由開發人員來承擔。通過傳輸層安全協議(tls),大多數物聯網平台具有為裝置通訊過程提供加密的能力。當然,這項能力必須由開發人員來啟用。

無論在應用程式的發展過程中如何重視安全問題,遭受攻擊的可能性總是存在。因此,至關重要的是設立一種讓每一層級都可以反覆更新到最近版本的保護機制。

因此,乙個物聯網平台不但應該提供整合的軟體和內容管理功能,還應支援自動分發更新。更複雜的平台還會包括如何分配這些更新的選項。這意味著,你可以在對所有裝置進行常規更新的時候,可以先在少量裝置上匯入和測試這些選項。

乙個通用的安全模型以及其它許多功能簡化了物聯網應用程式開發和實現的過程。因此,您可以優化您廣泛分布的裝置的效能,同時,確保防止未經授權的惡意使用。

深度 能否在物聯網領域構建乙個通用的安全模型?

因為缺乏人類的監督,也沒有常見的安全手段可以使用,無數的 不同型別的物聯網裝置正在成為潛在的攻擊目標。這些裝置包括汽車 電動發動機 供水水幫浦等等 烏克蘭電力公司的網路系統在2015年年末時遭到黑客攻擊,導致西部地區大規模停電。在該起事件中,多座變電站處於離線狀態,超過230000個家庭和辦公室遭遇...

物聯網技術在農業領域的應用

近年來,世界農業物聯網技術不斷發展,在農業物聯網感知技術 資料傳輸技術 智慧型處理技術等方面取得了很大的進展,隨著現代農業自動化需求的不斷增長和資訊科技的發展,農業物聯網在物理感知 資料傳輸 智慧型處理 應用服務等領域取得了重要進展。一般通過通過將大量的感測器節點構成監控網路,通過各種感測器採集資訊...

rola物聯網框架 如何搭建乙個物聯網系統框架?

下面將談到幾個關鍵問題 1 物聯網裝置如何接入到網路?只有裝置接入到網路裡面,才能算是物聯網裝置。這裡涉及到2個關鍵點 接入方式以及網路通訊方式。當前有2種接入方式 直接接入 物聯網終端裝置本身具備聯網能力直接接入網路,比如在裝置端加入nb iot通訊模組,2g通訊模組。閘道器接入 物聯網終端裝置本...