物聯(lián)網(wǎng)安全拒絕“事后諸葛亮”

■ 山東 趙長林

編者按：在物聯(lián)網(wǎng)安全已經(jīng)受到越來越多人的重視，但在面對物聯(lián)網(wǎng)安全防護(hù)時，企業(yè)大都不十分明晰。因此企業(yè)必須明確在產(chǎn)品開發(fā)的最初始階段時就應(yīng)將安全考慮其中。

與物聯(lián)網(wǎng)連接的僵尸網(wǎng)絡(luò)危害巨大，物聯(lián)網(wǎng)設(shè)備中的漏洞可被用于制造大規(guī)模的互聯(lián)網(wǎng)破壞。因此，很多基于物聯(lián)網(wǎng)的僵尸網(wǎng)絡(luò)有了新變種，并且危害更大。

企業(yè)大都清楚不安全的物聯(lián)網(wǎng)設(shè)備可能帶來的風(fēng)險。但是對物聯(lián)網(wǎng)設(shè)備打補(bǔ)丁的趨勢進(jìn)行分析，我們會發(fā)現(xiàn)，即使漏洞已經(jīng)為人所知，企業(yè)也未必采取了措施以主動地找到漏洞并為聯(lián)網(wǎng)設(shè)備打上補(bǔ)丁。

在多數(shù)情況下，漏洞是在設(shè)備被買來并部署到網(wǎng)絡(luò)中才被發(fā)現(xiàn)的。對于產(chǎn)品開發(fā)者來說，在產(chǎn)品投放到市場中之后發(fā)現(xiàn)的漏洞，其解決的成本是極高昂的，當(dāng)然這依賴于設(shè)備的類型。無論如何，這種漏洞都可能給公共安全和聲譽帶來極大的影響。如果物聯(lián)網(wǎng)設(shè)備與當(dāng)前的威脅（如勒索軟件）結(jié)合起來，就會給攻擊者帶來真正可怕的新機(jī)會。

公司需要從產(chǎn)品開發(fā)的最初始階段（即在投入到市場和部署到網(wǎng)絡(luò)中之前）就將安全性嵌入到產(chǎn)品中。但是，由于沒有任何系統(tǒng)是絕對安全的，而威脅又在不斷演變，產(chǎn)品的開發(fā)者必須繼續(xù)跟蹤并改善發(fā)布后產(chǎn)品的安全性。

保障物聯(lián)網(wǎng)設(shè)備的安全可能存在困難。產(chǎn)品的開發(fā)者需要在項目的管理、設(shè)計、質(zhì)量保證以及將產(chǎn)品投放到市場中的許多其他方面做出努力。但是，產(chǎn)品的開發(fā)者在網(wǎng)絡(luò)安全方面并無專門知識和技能，如安全威脅情報、合規(guī)、數(shù)據(jù)防泄露或響應(yīng)要求。更不必說物聯(lián)網(wǎng)設(shè)備的安全要求對設(shè)計系統(tǒng)及其組件有深入知識，還要深入知曉專業(yè)的硬件和軟件工具，以及具體的威脅及應(yīng)對的措施。

由于這些限制條件，將物聯(lián)網(wǎng)安全外包給專業(yè)的安全專家正日漸被接受。Gartner公司預(yù)計在世界范圍內(nèi)用于物聯(lián)網(wǎng)的安全花費將在專業(yè)服務(wù)方面劇增。如果企業(yè)正在考慮外包的安全和咨詢服務(wù)，以此來強(qiáng)化物聯(lián)網(wǎng)設(shè)備的安全，不妨考慮計劃如下的關(guān)鍵行動，將其包含到外部的專家方案中，以此來彌補(bǔ)內(nèi)部功能。

在開發(fā)過程中，要注意四個問題：

首先，要將安全專家包括到設(shè)計團(tuán)隊中。最優(yōu)的產(chǎn)品開發(fā)要求安全專家是開發(fā)團(tuán)隊的完整的組成部分，并在產(chǎn)品設(shè)計和開發(fā)過程中扮演積極的角色。

其次，要由安全專家檢查最初的高級系統(tǒng)設(shè)計。在設(shè)計過程中，執(zhí)行這種活動有助于構(gòu)建彼此的理解，并且可以使企業(yè)開發(fā)出在產(chǎn)品投入使用之前就能減輕其安全漏洞的架構(gòu)。

第三，開發(fā)一種威脅模型。威脅建模的目標(biāo)是確認(rèn)在開發(fā)過程中可能發(fā)生在系統(tǒng)中的真正威脅。這種威脅模型要記錄關(guān)鍵資產(chǎn)、數(shù)據(jù)流、系統(tǒng)組件、用戶角色、威脅及應(yīng)對措施。記錄在威脅模型中的應(yīng)對措施必須融合到技術(shù)產(chǎn)品的需求中，因而在開發(fā)過程中可被跟蹤。

第四，集成靜態(tài)和動態(tài)的分析工具。這些工具有助于確認(rèn)在開發(fā)過程中的安全漏洞，從而可以在物聯(lián)網(wǎng)產(chǎn)品投放到市場之前限制安全漏洞的產(chǎn)生。

當(dāng)然，在產(chǎn)品發(fā)布后，仍然要關(guān)注產(chǎn)品安全，尤其是如下三個問題：

第一，要使安全專家參與到架構(gòu)的評估中。企業(yè)要通過審閱文檔和與有關(guān)人員訪談，來執(zhí)行架構(gòu)體系的審查，以便于理解系統(tǒng)的架構(gòu)，并開始確認(rèn)潛在的風(fēng)險，確定對威脅模型進(jìn)行哪些可能的更新。

第二，漏洞評估。安全專家可以執(zhí)行技術(shù)評估，其目的是提供一種能影響一個或多個系統(tǒng)的漏洞圖譜，并決定已知安全問題的規(guī)模，用以計劃修復(fù)活動，還要區(qū)分解決問題的優(yōu)先次序。

第三，滲透測試，即面向目標(biāo)的攻擊模擬，通過這種攻擊我們可以確認(rèn)最糟糕的可能影響一個或多個目標(biāo)的安全漏洞。從設(shè)計的觀點來使用威脅模型，開發(fā)者可以設(shè)置在滲透測試過程中所追求的目標(biāo)。例如，針對心臟起搏器的攻擊，或在汽車運動過程中，勒索軟件遠(yuǎn)程打開汽車門。然后，企業(yè)可以運行測試，借以理解擁有某些方式和知識的攻擊在有限時間內(nèi)實現(xiàn)目標(biāo)的過程，并理解企業(yè)的防御如何運行。

不管企業(yè)是運用內(nèi)部的安全資源，還是外部的安全顧問，安全專家們對于發(fā)現(xiàn)漏洞都至關(guān)重要，并且能夠?qū)︼L(fēng)險進(jìn)行排序和減輕風(fēng)險。

不妨考慮這樣一種情況：汽車制造商找到一種用手機(jī)解鎖和啟動汽車的方法。安全專家可以領(lǐng)導(dǎo)產(chǎn)品開發(fā)的不同團(tuán)隊的設(shè)計審查過程，并深入挖掘重大的安全漏洞。通過構(gòu)建威脅模型，安全專家可以確定高風(fēng)險的威脅，諸如在手機(jī)被盜或丟失后，攻擊者用手機(jī)控制汽車或禁止合法用戶訪問或遠(yuǎn)程耗盡電池的方法。

通過這些訓(xùn)練，產(chǎn)品開發(fā)者就可以獲得他們需要在技術(shù)上做出明智決策的信息，并從初始階段就將安全性構(gòu)建到產(chǎn)品中。

在產(chǎn)品發(fā)布后的情形中，不妨設(shè)想一家汽車制造商開始擔(dān)心其“老齡化”的物聯(lián)網(wǎng)汽車及內(nèi)部組件的安全性。安全專家可以執(zhí)行滲透測試，探究漏洞的類型以及攻擊者根據(jù)其自身優(yōu)勢所要求的漏洞復(fù)雜程度。專家可以發(fā)現(xiàn)攻擊者竊取憑據(jù)從而訪問專用硬件的方法，也可以發(fā)現(xiàn)攻擊者如何將多種漏洞組合起來用以抽取足夠的知識產(chǎn)權(quán)數(shù)據(jù)從而構(gòu)建原型系統(tǒng)。

安全專家與汽車制造商合作，可以構(gòu)建修復(fù)策略，因而既能夠保證當(dāng)前的方案提供，又可以防止安全問題的發(fā)生。

保障物聯(lián)網(wǎng)設(shè)備的安全并非易事，產(chǎn)品的開發(fā)者應(yīng)當(dāng)能夠應(yīng)對挑戰(zhàn)。在產(chǎn)品的生命周期中與安全專家協(xié)作，開發(fā)者就可以更主動地減少與物聯(lián)網(wǎng)設(shè)備有關(guān)的安全危害所帶來的風(fēng)險。