在最近的一次安全會議上，一位白帽黑客惡意地向心臟起搏器注入 830V 電擊，只需在最遠 15.24 米的距離使用筆記本電腦即可。不用說，這種攻擊的“現實世界影響”可能是致命的。有人聲稱，黑客可以輕松擴展此類攻擊，以增加對裝有心臟起搏器的患者的致命影響。最新一代的心臟起搏器基本上由聯網的植入式物聯網 (IoT) 設備組成。無論哪個行業，任何物聯網設備中的安全漏洞都會引起嚴重關注。

網絡連接使物聯網產品暴露于新的攻擊媒介。2016 年針對 Dyn 域名系統 (DNS) 服務器的臭名昭著的分布式拒絕服務 (DDoS) 攻擊展示了攻擊者如何將不安全的物聯網設備武器化為物聯網僵尸網絡。互聯“事物”的網絡物理特征進一步提高了保護它們的門檻。

為什么安全對于網絡物理系統如此重要？

網絡物理系統 (CPS) 是指任何直接與物理環境交互的網絡連接產品。網絡物理系統的例子包括：

連接的可穿戴設備（例如健身監視器）

植入式裝置（例如起搏器）

自動駕駛汽車

工業機器人

燃氣輪機

與私有或公共網絡的網絡連接擴大了它們的攻擊面。攻擊者可以遠程連接并利用 CPS 中的漏洞，并將其用作造成重大物理損壞的工具。2010 年，臭名昭著的 Stuxnet 蠕蟲病毒感染了工業控制系統并操縱傳感器反饋到控制器的繼電器，最終損壞了伊朗核電站的 984 臺濃縮鈾離心機。因此，CPS 的安全漏洞不僅僅是數據或聲譽的丟失；它還意味著環境破壞、生命損失，因此涉及道德、法律和倫理后果。

保護物聯網產品的獨特挑戰

設計人員可以輕松查明任何傳統獨立系統與物聯網產品之間威脅模型的巨大差異。物聯網產品總是作為互聯生態系統的一部分運行，甚至像智能發電公用事業一樣作為“系統中的系統”運行，這使得它們的安全態勢具有獨特的挑戰性。

除了物聯網端點本地硬件和軟件的固有安全漏洞外，我們還必須考慮其操作環境、網絡連接以及與第三方平臺和系統的互操作性所引發的漏洞。

運行環境

與傳統 PC 不同，物聯網產品將計算與特定領域的操作融合在一起。例如，工業機器人除了嵌入式計算和存儲功能外，還在工業環境中執行特定領域的功能。

物聯網產品運行的環境帶來了某些獨特的安全挑戰：

不同的安全優先級：IT 安全實踐側重于數據機密性、完整性和系統可用性。在操作環境中；但是，優先保護地點、人員和流程。因此，應用于物聯網的標準 IT 安全實踐即使不能提高其安全性和可靠性要求，也必須保持不變。

網絡安全能力不足：2017 年 9 月，工業控制系統網絡應急響應小組 (ICS-CERT) 發現美國醫院使用的注射器輸液泵存在多個安全漏洞。其中大部分與使用硬編碼或出廠默認安全憑證有關。用戶和操作人員并不總是網絡安全專家，因此無法檢測和防范這些缺陷。

及時打補丁：提供軟件和固件更新，解決安全漏洞。在工業環境中；但是，定期打補丁并不常見。此外，在許多情況下，固件升級可能需要暫時停用物聯網產品。

系統限制：許多物聯網產品（例如傳感器和執行器）的內存和 CPU 占用空間較小，這限制了它們的嵌入式安全功能。

網絡連接

連通性將原本“安全”的產品暴露在網絡入侵的影響之下。2014 年，查理·米勒 (Charlie Miller) 和克里斯·瓦拉塞克 (Chris Valasek) 利用其軟件缺陷，遠程讓一輛在高速公路上全速行駛的聯網車輛完全停止。要閱讀他們的完整報告，請參閱他們題為Remote Exploitation of an Unaltered Passenger Vehicle的文章。

信息安全設計主要依賴于使用防火墻和分區的邊界保護。物聯網產品中越來越多地使用無線電技術和無線技術，使它們很容易成為遠程攻擊的目標。未加密的數據通信也是物聯網妥協的主要原因。

第三方互操作性

任何物聯網解決方案都涉及多個技術、配置和協議服務提供商。這會導致更復雜、不均衡的安全合規性以及攻擊面的增加。基于訂閱的模型增加了對第三方供應商進行設備配置、管理和操作的依賴，從而暴露了新的攻擊向量。

保護 IoT 產品的 4 層方法

物聯網安全需要超越傳統的網絡安全措施來克服這些挑戰。包含邊緣到云端工作流程的物聯網安全全棧方法至關重要。物聯網系統設計的 4 層安全模型可以減輕獨特的風險。

可靠的端點設計

由于它們與物理環境直接交互，因此非常需要防篡改設計。非默認用戶名/密碼或公鑰基礎設施 (PKI) 證書等合適的憑據可以限制未經授權的設備訪問和操作。需要考慮的其他一些安全設計措施：

基于可信平臺模塊 (TPM) 的信任根

初始化和啟動過程的完整性

提供安全固件和軟件更新

存儲和傳輸中數據的完整性

選擇安全的實時操作系統 (RTOS) 和容器化的故障隔離可以在運行時保護端點。

安全網絡訪問

由于物聯網運營的獨特挑戰，設計思維需要設想并深入分析以下用例場景：

訪問方法

產品用途

數據通訊

邊角案例

這直接導致開發網絡連接的威脅模型，并讓我們了解如何：

保護訪問端口

在存儲和傳輸過程中加密數據

使用隧道

保護協議

在網絡邊界實施深度數據包檢測

無線和射頻是物聯網連接的主要選擇，通常更容易受到攻擊。但是，您可以通過以下方式降低連接風險：

通過訪問和身份控制強制執行網絡訪問憑證

啟用常見物聯網協議的內置安全功能，例如：

消息隊列遙測傳輸 (MQTT)

受限應用協議 (CoAP)

Zigbee?

傳輸控制協議/互聯網協議 (TCP/IP)

基于合規性的設計

雖然合規性并不等同于安全，但合規性設計可以最大限度地減少漏洞。與信息安全不同，物聯網安全除了數據完整性、隱私性和可用性外，還涉及安全性、可靠性和彈性。換句話說，如果發生漏洞，系統必須設計為謹慎地過渡到穩定的故障狀態，并將對周圍環境的影響降到最低。對于全速行駛的自動駕駛汽車，故障應該小心地讓它停下來。這就是為什么除了網絡安全標準——聯邦信息處理標準 (FIPS)、ISO 27001、美國國家標準與技術研究院 (NIST) SP 800 等——系統設計需要交織遵守行業特定法規——例如，健康保險流通與責任 (HIPAA)，交通部 (DOT)。

云和應用程序安全

基于云的配置、設備管理以及數據和應用程序托管是任何物聯網產品部署的核心。許多物聯網產品在軟件即服務 (SaaS) 上運行，其中第三方托管軟件層。盡管系統設計人員可能會或可能不會直接控制基于云的服務中的安全實施，但仍然必須根據產品文檔中明確列舉的某些云安全標準和最佳實踐來構建部署。

結論

互聯產品是我們行業的未來。在不斷變化的威脅環境中，物聯網的網絡物理特性增加了安全挑戰。一旦您確定了挑戰，本博客中討論的 4 層方法提供了一種有條不紊的方法來降低風險。

關鍵點：

物聯網安全不僅僅是數據或聲譽的損失，它還意味著環境破壞、生命損失，并涉及道德、法律和倫理后果。

物聯網產品作為互聯生態系統的一部分運行，這使得它們的安全狀況具有獨特的挑戰性。

用于減輕威脅的 IoT 系統設計的 4 層安全模型涉及可靠的端點設計、安全的網絡訪問、基于合規性的設計以及云和應用程序安全。

Sravani Bhattacharjee 擔任數據通信技術專家已有 20 多年。她是《實用工業物聯網安全》一書的作者，這是第一本關于工業物聯網安全的書籍。直到 2014 年，作為思科的技術領導者，Sravani 領導了多個企業云/數據中心解決方案的架構規劃和產品路線圖。作為 Irecamedia.com 的負責人，Sravani 目前與工業物聯網創新者合作，通過制作各種編輯和技術營銷內容來推動意識和業務決策。Sravani 擁有電子工程碩士學位。她是 IEEE 物聯網分會的成員、作家和演講者。

審核編輯黃宇