美國主要域名服務器提供商DYN的服務器遭受嚴重的DDoS攻擊，導致大規模互聯網癱瘓，受害企業橫跨支付、餐飲、網絡社交、財經媒體等多個不同領域，包括PayPal、星巴克、Twitter、《華爾街日報》在內的眾多網站都無法訪問。這次攻擊為我們敲響了警鐘——攻擊者能夠利用15萬個安全性不夠的物聯網終端設備來發起惡意攻擊。

為了應對盤旋于物聯網安全架構周邊的、日益增長的恐懼和疑慮，我們聯手物聯網安全公司Ardexa做了相關的研究實踐，希望借此幫助那些實施物聯網解決方案的企業檢查其方案是否安全可靠。

開發安全性較高的端到端物聯網解決方案涉及多個層級的問題，但是在物聯網安全架構中，我們將這些問題歸納成四個不同的層級，包括：設備層、通信層、云端和生命周期管理。

安全的設備層

設備層是指部署物聯網解決方案時所涉及到的硬件，即物理上的“事物”或產品。設計和生產設備的ODM、OEM廠商們致力于在他們的硬件和軟件上同時集成更多的安全功能，以提高設備層的安全性。

重要的物聯網安全架構特征

· 一些制造商正在引入安全芯片TPMs (Trusted Platform Modules，也叫可信任平臺模塊)，因為密鑰被存儲在硬件中，被竊的數據無法解密，從而從根源上保護了敏感信息和憑證。(即，不是在芯片外部設置加密秘鑰)

· 安全啟動機制可以確保只有經過驗證的軟件才能在設備上運行。

· 采取物理層的安全保護措施(例如，對所有內部電路進行全金屬屏蔽)，這種方式下即使入侵者獲得對設備的物理訪問，也能夠防止信息被篡改。

雖然這些“ hard identities ”或“ 物理保護屏障 ”在特定情況下可能是有價值的，但是數據移動和設備處理復雜任務的能力決定了該設備所面臨的風險水平。從一開始就重視設備的邊緣處理能力和復雜的安全功能是一條重要的原則。

設備層的IoT安全架構原則

原則一：設備智能化是處理復雜的、安全性要求高的任務的前提條件

目前許多可用的終端設備(比如電器、工具、玩具或配件)都能通過以太網或WiFi網絡與云平臺或服務器進行“溝通”，但是這些設備通常只通過一個微處理器進行驅動，它們不能處理復雜的網絡連接，因此不應該用于處理物聯網應用中的前端任務。

有效的、安全的連接必須由一個智能化的設備提供，這個設備需要具備加密、認證、時間戳、緩存、代理、防火墻、連接丟失等能力。設備必須具有魯棒性，并且能夠在有限的支持下進行現場操作。

原則二：邊緣處理的安全優勢

事實上，智能設備是一種能夠自我“進化”的設備，能夠隨著時間的推移讓自己更加強大、有用，例如：機器學習算法目前已經達到能讓一些小型設備擁有處理視頻流的能力，這在幾年前是難以想象的，當然計算機除外。邊緣處理意味著這些智能設備可以在本地處理相關的數據，而不用將數據上傳到云端。

邊緣計算真的可以增強設備的安全性嗎?是的，絕對可以。因為邊緣處理意味著敏感信息不需要上傳到云端，因此在設備層處理數據有助于強化整個網絡。

設備層事例及注意事項

AFIT更改PLC固件

2014年，美國空軍技術研究所(AFIT)的研究人員展示了使用惡意固件啟動不安全設備的可行性。他們創建了一個在工業可編程邏輯控制器(PLC)中檢測不到的原型rootkit，該軟件能夠破壞工廠的正常運營。

設備層解決方案注意事項：

· 設備供應商是否提供rootkit惡意軟件的保護

· 設備安裝過程中是否易受攻擊

· 設備是否定期測試惡意rootkit

· 物聯網架構是否能對固件進行遠程測試

· 自動化設備的常規服務程序是否會引入漏洞

· 我們是否可以檢測到rootkit惡意軟件

安全的通信層

通信層指的是物聯網解決方案的連接網絡，即安全地發送/接收數據的媒介。敏感數據能否在物理層，網絡層或應用層等不安全的通信信道中傳輸是一個值得注意的問題，因為這些數據很可能受到諸如中間人攻擊(MITM)之類的攻擊形式。

重要的物聯網安全架構特征

· 以數據為中心的安全解決方案能夠確保數據在傳輸(靜止)時被安全地加密，除非對方擁有正確加密密鑰的用戶(個人，設備，系統或應用)解鎖代碼，否則即使數據被攔截了也毫無用處。

· 防火墻和入侵防御系統用來檢查特殊數據流(如，非IT協議)，并在設備端終止它們，所以越來越多地被應用于檢測入侵，同時防止通信層上的惡意活動。

通信層的物聯網安全架構原則

原則三：啟動與云端的連接

當防火墻端口向網絡打開的瞬間就意味著設備已經面臨著來自網絡上的重大風險，因此通常只有在必要的情況下才打開防火墻。然而，給現場設備所提供的支持達不到與諸如web 、電子郵件或語音/視頻服務器等同一程度。這些現場設備與云服務器相差甚遠，它們沒有管理員可進行漏洞修補、重新配置、測試和監視軟件。

因此，允許設備直接連接到網絡不是一個太好的主意，設備必須首先啟動與云端的連接。設備連接到云端還可以促進雙向信道，從而允許物聯網設備被遠程控制。在大多數情況下，這是非常有必要的。

與這一原則密切相關的是使用虛擬專用網絡(VPN)來訪問物聯網設備。然而，對于物聯網設備來說，使用VPN的危險性可能與允許傳入服務一樣危險，因為它允許個人或網絡訪問自己網絡內的資源。目前，安全任務的規模顯著增長，并且經常超出合理控制。當然，VPN在非常特殊的情況下是可以發揮作用的。

原則四：信息的固有安全

我們應該非常重視物聯網設備的通信安全，無論信號是從設備端進行上傳還是下載到設備端。對于物聯網終端設備來說，輕量級的基于消息的協議具有許多獨特的優勢，是非常不錯的選擇，包括雙重加密、排隊、過濾甚至與第三方共享等。

使用正確的標簽，每個消息都可以根據適當的安全策略進行處理。例如，限制 “遠程控制”功能，或者僅允許在單方向上進行“文件傳輸”，又或者對客戶數據進行雙重加密。利用這種安全策略，可以控制消息流的安全傳輸。在物聯網設備中，消息傳遞及其相關的訪問權限設置在通信層上發揮著強大的作用。

通信層事例及注意事項

汽車遙控

2015年，兩名網絡安全專家通過中間人攻擊的方式，對高速公路上的吉普車實現了遠程控制(例如，控制空調、收音機、擋風玻璃刮水器和制動器等)。這次襲擊展示了中間人攻擊的危害性，也導致廠商召回了140萬輛汽車。

通信層解決方案注意事項：

· 是否可以遠程修補設備漏洞

· 物聯網架構是否能夠限制入侵者的損害程度

· 第三方測試能否發揮作用

· 如何防范“邊緣”漏洞

· 大型物聯網系統的各個部門之間是否存在意想不到的聯系

· 安全的云服務層

云服務層是指物聯網解決方案的軟件后端，即來自設備的數據被大規模采集，分析和處理，用以產生洞察力并采取相應的措施。當評估一項解決方案采用云服務或者本地服務所要面臨的風險時，安全性一直是討論的核心問題。然而，對于物聯網的發展來說，云服務的廣泛采用是一個不容忽視的推動因素。

重要的物聯網網絡安全特性

· 存儲在云平臺上的敏感信息(即靜止數據)必須加密，避免輕易受到攻擊。

· 這也有利于完整地驗證其他云服務或第三方應用的完整性，它們試圖與你的云服務進行溝通從而達到防止惡意攻擊的目的。

· 數字證書在物聯網大規模識別和認證需求中發揮著關鍵的作用。

物聯網云服務層安全原則

原則五：設備需具備識別，認證和加密功能

人們總是使用一個密碼來訪問云服務。在某些情況下，可能有兩個驗證因素，如“密碼+一次密碼生成器”。

然而，當訪問云端服務的時候，機器在處理數字證書方面做得更好。因為數字證書使用是非對稱的，加密的身份認證系統，不僅可以驗證事務，還可以在身份認證發生之前將從設備到云端的通道進行加密。數字證書還可以提供加密標識，如果使用用戶名/密碼很難實現的相同的安全效果。

云服務層事例及注意事項

不安全的客戶數據

2015年，英國的網絡供應商Talk Talk遭受幾個網絡安全漏洞的攻擊，導致未經加密存儲的客戶數據暴露在云端。黑客能夠輕松訪問和竊取數百萬客戶的信用卡和銀行詳細信息。

通信層解決方案注意事項：

· 如何選擇數據存儲在設備端或云端

· 哪些數據元素需要加密，加密到什么級別

· 在物聯網云中使用什么類型的防火墻

· 是否有正確的商業模式來解決物聯網安全隱患

生命周期管理層的安全

安全的生命周期管理是一個包羅萬象的整體性層級，即確保從設備制造、安裝再到物品處置，整個過程中都有足夠高的安全級別。設計只是保持物聯網解決方案安全的第一步，整個生命周期中還包括策略執行，定期審核和供應商控制等環節。

重要的物聯網網絡安全特性

· 活動監視器在跟蹤，記錄和檢測可疑活動中起著重要的作用。

· 物聯網設備和應用需要常規性的安全補丁，以便保持良好的狀態，從而加強抵御攻擊和修復漏洞的能力。

· 特別是在維護數十億個物聯網設備時，遠程控制的安全性至關重要。

生命周期管理的安全原則

原則六：遠程控制和更新的安全

遠程控制功能和在設備的生命周期內向其發送命令的功能是兩個非常敏感的但又非常強大的功能?？梢赃M行遠程控制的設備需要擁有諸如遠程診斷、更新配置、更新出錯的軟件、檢索文件、使用全新的數據重新設置機器學習算法、添加新功能等眾多功能。安全更新和遠程控制的關鍵是確保設備禁止接入其他連接，即使這個設備能夠進行雙向連接并且得到正確的保護，依然應該使用消息交換機作為通信通道并采取正確措施。這么做的結果是，設備上的軟件充當本地服務器，此時它只與云端進行連接。

生命周期管理層事例及注意事項

醫療設備的不安全更新過程

2015年，一名黑客通過Hospira藥物輸液泵來提高給患者的藥物劑量上限，導致這一問題的主要原因是不安全的庫更新過程以及泵的通信模塊安全性不夠高。

生命周期管理解決方案注意事項：

· 維護流程是否會引入新的漏洞

· 是否設置了合適的訪問權限和級別

· 軟件或固件的更新是否經過數字簽名或認證

總結

以上四個不同層面提出了六個重要的物聯網安全架構特征，并突出強調了每個原則的重要性，總結來說物聯網安全設計是非常復雜的。安全解決方案通常會由多個關鍵要素共同發揮作用，用以規避各種威脅或風險。從前文中提到的現實案例來看，所有的物聯網解決方案通常都需要對安全進行全面的考慮。