IIoT 的高效安全配置

2076710 2022-11-28 | pdf | 204.47KB | 次下載 | 免費

資料介紹

2016 年秋季，黑客招募了數十萬臺嵌入式設備來組成惡意僵尸網絡。他們的 Mirai 惡意軟件感染了寬帶路由器，讓僵尸網絡的運營商利用它們進行分布式拒絕服務 (DDoS) 攻擊。這為新興的物聯網 (IoT) 行業敲響了警鐘——展示了黑客如何利用聯網的智能設備達到自己的目的。2016 年秋季，黑客招募了數十萬臺嵌入式設備來組成惡意僵尸網絡。他們的 Mirai 惡意軟件感染了寬帶路由器，讓僵尸網絡的運營商利用它們進行分布式拒絕服務 (DDoS) 攻擊。這為新興的物聯網 (IoT) 行業敲響了警鐘——展示了黑客如何利用聯網的智能設備達到自己的目的。盡管 Mirai 攻擊的重點是消費設備，但對工業物聯網的影響是嚴重的。如果不采取對策，工廠就有可能成為類似大規模襲擊的受害者。風險范圍從生產損失到連接機器的嚴重損壞。安全專家的分析表明，遭受黑客攻擊的設備制造商會犯相對簡單的錯誤。在 Mirai 攻擊的案例中，路由器幾乎沒有針對黑客登錄并向其上傳新固件的保護措施。?盡管 Mirai 攻擊的重點是消費設備，但對工業物聯網的影響是嚴重的。如果不采取對策，工廠就有可能成為類似大規模襲擊的受害者。風險范圍從生產損失到連接機器的嚴重損壞。安全專家的分析表明，遭受黑客攻擊的設備制造商會犯相對簡單的錯誤。在 Mirai 攻擊的案例中，路由器幾乎沒有針對黑客登錄并向其上傳新固件的保護措施。?物聯網安全基金會 (IoTSF) 等組織已發布旨在防止類似攻擊的建議。IoTSF 確定了防范 Mirai 的措施。它們包括需要確保訪問代碼或密碼對每個單元都是唯一的，并且不會在一組設備之間共享。即使黑客能夠發現其中一個的密碼，他們也無法使用相同的訪問憑據登錄到其他人。進一步的建議是，設備應防止將未經受信任提供商數字簽名的固件加載到其中。物聯網安全基金會 (IoTSF) 等組織已發布旨在防止類似攻擊的建議。IoTSF 確定了防范 Mirai 的措施。它們包括需要確保訪問代碼或密碼對每個單元都是唯一的，并且不會在一組設備之間共享。即使黑客能夠發現其中一個的密碼，他們也無法使用相同的訪問憑據登錄到其他人。進一步的建議是，設備應防止將未經受信任提供商數字簽名的固件加載到其中。雖然答案是每個單位都擁有唯一的憑據，但從后勤的角度來看，這可能很難管理。如果每臺設備都需要由專家安裝人員單獨配置，那么 IIoT 系統的部署成本就會非常高。這也是一種增加風險的策略，因為許多設備可能需要由一小群人進行配置——這使它們成為工業間諜和社會工程攻擊的主要目標。雖然答案是每個單位都擁有唯一的憑據，但從后勤的角度來看，這可能很難管理。如果每臺設備都需要由專家安裝人員單獨配置，那么 IIoT 系統的部署成本就會非常高。這也是一種增加風險的策略，因為許多設備可能需要由一小群人進行配置——這使它們成為工業間諜和社會工程攻擊的主要目標。圖 1：適用于 IIoT 實施的證書層次結構。圖 1：適用于 IIoT 實施的證書層次結構。安裝唯一密鑰的點也是一個問題。該程序應在制造供應鏈的早期發生。這避免了通過網絡傳輸密鑰的需要，這是安全的主要風險，特別是如果攻擊者知道網絡何時正在建立。鑒于工業項目的性質，不能排除對私鑰傳輸的攻擊。安裝唯一密鑰的點也是一個問題。該程序應在制造供應鏈的早期發生。這避免了通過網絡傳輸密鑰的需要，這是安全的主要風險，特別是如果攻擊者知道網絡何時正在建立。鑒于工業項目的性質，不能排除對私鑰傳輸的攻擊。在將傳感器節點或 IIoT 設備視為系統的可信部分之前，需要執行幾個步驟來安裝它。第一步是將其注冊到網絡中。也就是說，它需要自己獨特的網絡地址和與服務器通信的方式——最有可能是本地網關或路由器，以促進訪問更廣泛的物聯網。在將傳感器節點或 IIoT 設備視為系統的可信部分之前，需要執行幾個步驟來安裝它。第一步是將其注冊到網絡中。