物联网[1]内联网设备、系统和服务不断增长,为社会带来了巨大的机遇和好处。但是,安全性并没有跟上创新和部署的快速步伐,造成了大量的安全和经济风险。本文档介绍了这些风险,提出了一套非约束性原则,并提供了最佳实践建议,目的是培养企业的安全责任意识,使其设计、制造、拥有和运营的设备和系统达到一定的安全级别。
物联网[1]内联网设备、系统和服务不断增长,为社会带来了巨大的机遇和好处。但是,安全性并没有跟上创新和部署的快速步伐,造成了大量的安全和经济风险。本文档介绍了这些风险,提出了一套非约束性原则,并提供了最佳实践建议,目的是培养企业的安全责任意识,使其设计、制造、拥有和运营的设备和系统达到一定的安全级别。
设备联网后实现了人、网络和物理服务之间的无缝连接。这些连接提升了效率并提供了新鲜功能和定制体验,对制造商和消费者都颇具吸引力。从健身追踪器、心脏起搏器和汽车到为家庭提供水、电的控制系统,联网设备在日常生活中已经无处不在,甚至是必不可少。可以说,物联网几乎无所不能。
虽然物联网的好处无法否认,但现实是安全保障跟不上创新的步伐。越来越多的网络连接集成到国家关键基础设施中,曾经手动执行的重要流程(因此对恶意网络活动具有一定的免疫力)现在面临着网络威胁。国家对网络连接技术越来越依赖,但相应的保护措施却未跟上。
物联网生态系统引入的风险包括恶意行为者操纵联网设备之间的信息流或对设备本身进行篡改,导致敏感数据被盗、消费者隐私泄露、业务运营中断、网速下降(通过大规模分布式拒绝服务(DDoS)攻击实现)以及对关键基础设施的潜在破坏。
去年,一次网络攻击将乌克兰部分地区的电网暂时中断,让世界各国看到了联网系统故障可能导致的严重后果。当今,国家依赖于正常运行的网络来推动民生活动,所以,物联网安全已成为国土安全问题。
当前刻不容缓的是政府和行业必须合作,确保物联网生态系统建立在可信和安全的基础之上。2014年,总统国家安全电信咨询委员会(NSTAC)强调了必须立即采取行动。
物联网的应用速度和范围都在增长,(将会)影响我们社会的几乎所有部门。国家面临的挑战是确保采用物联网时不会造成不当风险。另外,……。要确保物联网采用会将安全最大化、风险最小化,这个时间窗口很小且会很快关闭。如果国家没有做到这一点,之后的几代人都要为因此造成的后果买单[2]。
解决物联网安全问题要从现在立刻开始。本文为公私营部门参与解决这些关键问题铺平了道路,激励有关各方(物联网开发人员、制造商、服务提供商以及购买和部署设备、服务和系统的用户)就物联网安全按照设计内容展开对话,作为保障物联网安全的第一步。以下原则和建议实践指出了安全方面的战略关注点,强化了支撑物联网生态系统的信任框架。
物联网中的许多漏洞可以通过公认的安全最佳实践得到缓解,但是现在有太多的产品甚至还没有采用基本的安全措施,原因有很多。其中一个原因是不清楚谁负责安全决策,当今世界,设计设备、供应组件软件、运营嵌入设备的网络以及部署设备均由不同公司完成。再加上缺乏全面、统一的物联网安全国际规范和标准,挑战就更大了。其他因素包括开发人员缺乏充分保护产品的动力(因为即使未保护产品,他们可能也并不需要付出什么代价)以及缺乏评估竞品安全功能的普遍意识等。
下节阐述的原则可为利益相关者厘清思路,解决上述物联网安全挑战:
与所有的网络安全工作一样,物联网风险缓解是政府与私营部门的共同责任,这种责任随时间推移而不断发展。公司和消费者通常负责自行决定所制造或购买产品的安全功能。除特定监管情况和执法活动,政府的作用是提供工具和资源,以便公司、消费者和其他利益相关者能够就物联网安全做出明智决策。
本文所述原则不具约束力,目的是为利益相关者提供实践建议,使其在开发、制造、实施或使用联网设备时考虑安全因素。具体宗旨如下:
1 |
物联网开发人员:设计、开发设备、传感器、服务等物联网组件时纳入安全考虑。 |
2 |
物联网制造商:提升消费类设备和厂商托管设备的安全性。 |
3 |
服务提供商(通过物联网设备实施服务):考虑这些物联网设备所提供功能的安全性,以及实现这些服务的基础设施的底层安全性 |
4 |
工业和企业级消费者(包括联邦政府和关键基础设施所有者和运营商):牵头制造商和服务提供商参与物联网设备安全建设。 |
下述原则旨在提高设计、制造和部署等一系列活动中的物联网安全性。广泛采用这些战略原则和相关的实践建议将大大改善物联网的安全态势。但是,要缓解物联网安全风险并没有一刀切的解决方案。物联网设备种类繁多,下列各实践并不一定适用所有这些设备。这些原则根据基于风险的方法进行调整和应用,这种方法考虑了相关的业务环境以及联网设备、系统或服务相关事件可能导致的特定威胁和后果。
应将安全视为联网设备不可或缺的一个部分。
虽然有例外,但在很多情况下,企业会因经济考量或缺乏风险意识而将缺乏安全特性的设备推向市场。在设计阶段进行安全建设可以减少潜在问题,避免在开发和部署产品后再为产品添加安全特性,这种做法难度更大,成本更高。将安全作为联网设备的一个特性,制造商和服务提供商还可以获得市场差异化机会。下述实践是在设计、开发和生产的早期阶段纳入安全考虑的最有效方法。
在设计过程中不纳入安全因素有何潜在影响?
未设计和实施适当的安全措施会为制造商带来财务成本、声誉成本或产品召回成本。虽然尚未有针对物联网的判例法,但产品的传统侵权责任原则应该也适用此领域。
建议实践:
默认启用安全性,使用唯一且难以破解的默认用户名和密码。制造商提供的物联网设备的用户名和密码很容易破解,而用户一般不会更改。僵尸网络的原理就是持续扫描具有已知出厂默认用户名和密码的物联网设备。强安全控制应该是工业消费者需特意禁用而非特意启用的措施。
构造设备时使用技术上允许且经济可行的最新操作系统。许多物联网设备使用的是Linux操作系统,但可能并不是最新版本。使用最新操作系统就意味着修补了已知漏洞。
使用包含安全功能的硬件可加强对设备的保护,保护其完整性。例如,使用集成了晶体管级安全性、嵌入在处理器中并提供加密和匿名性的计算机芯片。
在设计时虑及系统和运营中断情况。了解设备故障可能产生的后果后,开发人员、制造商和服务提供商能够基于风险做出更明智的安全决策。开发人员应尽可能安全地构造物联网设备,使得设备即使出现故障也不会导致更大的系统中断。
即使在设计阶段考虑了安全因素,也可能在产品部署后发现漏洞。可以通过打补丁、安全更新和漏洞管理策略来缓解这些缺陷。在设计这些策略时,开发人员应考虑设备故障的影响、相关产品的耐用性以及预期的维修成本。若未提供安全更新部署能力,制造商可能会面临两难抉择:是进行成本高昂的召回,还是任由包含已知漏洞的设备继续运行?
国家电信和信息管理局(NTIA)就“物联网可升级性和修补”召集各利益相关方,分享了在安全可升级性和修补方面的观点,拟定了多利益相关方流程,并为行业制定了全面采用该流程的更具体目标。
建议实践:
考虑通过网络连接或自动化方式保护设备的方法。理想情况下,补丁会自动应用,并利用加密完整性和真实性措施来快速修补漏洞。
考虑通过协调第三方厂商进行软件更新来修补漏洞并提升安全性,确保消费类设备具有最新的完整保护措施。
开发自动化机制来解决漏洞问题。例如,在软件工程领域,有些机制可从研究和黑客社区实时获取关于严重漏洞的报告。这样,开发人员就能通过软件设计解决这些漏洞,并做出恰当响应。
制定协调漏洞披露政策,包括相关的安全措施,以解决已发现的漏洞。协调披露政策应覆盖开发人员、制造商和服务提供商,并包括上报给计算机安全事件响应团队(CSIRT)的任何漏洞的信息。美国计算机应急响应小组(US-CERT)、工业控制系统(ICS)-CERT和CSIRT定期并在重大事件发生后发布技术警告,提供漏洞和相关缓解信息。
为物联网产品制定报废策略。并非所有的物联网设备都可以无限制地修补和更新。开发人员应提前考虑产品报废问题,并告知制造商和消费者设备的预期使用寿命以及超期使用设备的风险。
传统IT和网络安全中使用的许多经过验证的实践都可以应用于物联网。这些方法可用以识别漏洞、检测违规行为、响应潜在事件并在物联网设备损坏或中断后恢复业务。
美国国家标准与技术研究院(NIST)发布了网络安全风险管理框架,该框架经过跨部门整合,已在私营企业和组织内部广泛采用。该框架被公认为是组织网络风险管理的综合试金石(https://www.nist.gov/cyberframework)。虽然它并非针对物联网,但在考虑物联网风险和最佳实践时可从该框架入手。
建议实践:
从基本的软件安全和网络安全实践着手,以灵活、自适应和创新的方式将它们应用于物联网生态系统。
参阅针对特定行业的相关指南(若有)考虑安全实践。有些联邦机构负责处理所监管部门的安全实践。例如,国家公路交通安全管理局(NHTSA)最近发布了关于现代车辆网络安全最佳实践的指南,该指南针对的是自动或半自动车辆带来的特有风险。与此类似,美国食品和药物管理局发布了《医疗器械网络安全后期管理》指南草案。
实施深度防御。开发人员和制造商应采用整体安全方法,纳入针对网络安全威胁(包括将用户级工具作为攻击入口)的分层防御措施。在没有修补或更新机制或该种机制无法解决特定漏洞时,这条尤其有用。
加入信息共享平台,上报漏洞,并从公私营合作伙伴处及时获得当前网络威胁和漏洞的关键信息。信息共享至关重要,可确保利益相关方及时发现威胁[3]。此类平台包括国土安全部(DHS)国家网络安全和通信集成中心(NCCIC)、跨州和特定部门的信息共享和分析中心(ISAC)以及信息共享和分析组织(ISAO)。
物联网生态系统的风险模型差异很大。例如,工业消费者(核反应堆所有者和运营商等)和零售消费者有不同的考虑因素。不同客户的安全故障后果也会有很大差异。因此,关注业务中断、数据泄露或恶意活动对不同消费群体造成的潜在后果至关重要,可确定安全工作方向,判断谁最有能力缓解严重后果。
物联网安全措施应聚焦于物联网设备吗?
由于所有物联网流程的目的均是在物理点接收信息并根据该信息促进决策(有时会产生物理后果),因此安全措施可以关注物联网流程的一个或多个环节。 如前所述,物联网的风险始于特定设备,但显然不限于此。开发人员、制造商和服务提供商应考虑物联网设备以及流程和服务的特定风险,并基于对这三者的相对影响决定针对哪个方面采用最强大的安全措施。
建议实践:
尽可能了解设备的预期用途和环境。这种意识可促进开发人员和制造商考虑物联网设备的技术特性、设备的运行方式以及可能需要的安全措施。
进行“红队”演练,即开发人员主动尝试绕过应用程序、网络、数据或物理层的必备安全措施。由此产生的分析和缓解计划有助于确定轻重缓急,判断额外的安全措施应首先在何处以及如何加入。
识别并认证联网设备,尤其是工业消费者和商业网络的联网设备。通过对已知设备和服务应用认证措施,工业消费者可控制其组织框架内的设备和服务。
开发人员和制造商需尽可能了解其供应链,即组织外部供应商所提供的软硬件组件是否存在任何相关漏洞。如果物联网中依赖大量的低成本、易获取的软硬件方案,这一点做起来就很难。开发人员和制造商若依赖外部的低成本、易获取的软硬件方案,在开发和部署联网设备时,就可能无法准确评估组件中内置的安全性能。此外,由于许多物联网设备利用开源软件包,开发人员和制造商可能无法识别这些组件的来源。
提高安全意识后,制造商和工业消费者可确定在何处以及如何应用安全措施或建立灾备。根据相关产品的风险状况,开发人员、制造商和服务提供商将能够以恰当方式更好地、尽快地缓解威胁和漏洞,具体方式包括修补漏洞、产品召回和用户咨询。
建议实践:
尽可能进行端到端风险评估,包括内部和第三方厂商风险。开发人员和制造商应在风险评估流程中加入厂商和供应商,实现评估透明,了解潜在的第三方漏洞并促进信任和透明度。供应链中的组件被替换、移除或升级后应对安全进行重新评估。
考虑建立漏洞报告的公开披露机制。例如,“漏洞赏金”(Bug Bounty)计划利用众包方法来识别公司内部安全团队可能无法捕获的漏洞。
考虑开发和使用软件物料清单,在厂商和制造商之间建立共享信任。开发人员和制造商应考虑在设备包中提供已知软硬件组件列表,同时考虑保护知识产权问题的必要性。这种列表作为一种重要工具,方便物联网生态系统中的其他人了解和管理风险,并能够在发生安全事件后立即修补漏洞。
由于物联网设备存在中断风险,物联网用户,尤其是工业环境用户,应认真考虑长期联网是否必要。为缓解网络连接的潜在威胁,物联网用户应谨慎联网,在物联网设备的潜在入侵或失灵风险和限制互联网接入产生的成本之间做出权衡。
在当前联网环境中,任何特定物联网设备在其生命周期内都有可能遭遇运行中断。物联网开发商、制造商和用户都应考虑物联网设备运行中断对设备的主要功能和业务运营有何影响。
每台联网设备是否均需持续地自动接入互联网?
正是为帮助企业解决这一问题,联邦贸易委员会2015年发布了《从安全入手:企业指南》。提供持续性网络接入可能非常方便,但这种连接有时对于设备和系统来说并没有必要。例如,对于核反应堆来说,持续性互联网连接为入侵提供了机会,可能会造成严重后果。
建议实践:
对于任何网络连接,向物联网用户说明预期目的。运行物联网设备的关键功能可能并不需要直接连接互联网,尤其是在工业环境中。了解了连接的性质和目的,用户才能作出明智决策。
有计划地建立连接。有些情况下,对用户有利的做法是不直接接入互联网,而是接入本地网络,同样可以汇总、评估关键信息。例如,应采取以下链接中发布的深度防御原则对工控系统进行保护:https://ics-cert.us-cert.gov/recommended_practices。
嵌入控制措施使制造商、服务提供商和用户可根据需要禁用网络连接或特定端口,实现有选择地连接。依据物联网设备的用途,向用户提供终端实现方面的指导和控制是个不错的做法。
我们绝不能部署缺乏安全考虑的物联网设备,因为这可能会对我们的关键基础设施、个人隐私和经济带来损害,造成不可估量的后果。
在国土安全部发布这些原则的同时,其他联邦机构的同僚以及私有部门实体也在辛勤工作,努力推动架构建设,积极实践,以解决物联网安全问题。本文介绍了总体安全原则,是加强这些工作的第一步。当然,后续步骤也不可或缺。
国土安全部认为应在政府和工业界开展四个方面的工作提升物联网安全。
四个方面的工作如下:
1、协调联邦部门和机构,鼓励物联网利益相关方参与物联网安全工作,共同探讨如何缓解物联网带来的风险。
国土安全部及其联邦合作伙伴会持续鼓励行业合作伙伴参与制定方案进一步提升物联网安全,增进对不断演进的物联网风险缓解技术趋势的了解。随着人们进一步了解和完善最佳实践和方案,今后的工作还将集中在对这些原则的更新和实施上。
2、培养利益相关方的物联网风险意识。
利益相关方有物联网风险意识非常重要,因为这样他们会对风险进行定位和防范。国土安全部将与其他机构、私营部门和国际合作伙伴通力配合,提升公众意识、教育和培训活动。此外,国土安全部还将与其他机构携手实施专门面向特定部门和个人用户的各种举措。
3、采用合理激励措施,推动物联网安全建设。
决策者、立法者和利益相关方需考虑通过各种方式加强激励措施,从而提升物联网安全。在当前环境中,某一特定产品或系统的安全职责往往不够清晰明确。同时,相关人员本应提升安全,却因安全防护不到位导致损失,而他们往往并未被追责。国土安全部和所有其他利益相关方在鼓励开展经济活动和突破性创新的同时,需考虑如何通过侵权责任、网络保险、立法、监管、自愿性认证管理、标准制定活动、自愿性工业级活动以及其他机制提升安全。国土安全部后续还会与合作伙伴召开会议讨论这些关键事宜并征求意见和反馈。
4、参与物联网国际标准制定流程。
物联网是全球生态系统的一部分,其他国家和国际组织已开始评估其中的多项安全考虑。很重要的一点是物联网相关活动不能相互抵牾,不应存在多套互相冲突的标准或规则。随着国土安全部越来越重视物联网工作,我们必须鼓励国际合作伙伴和私营部门参与其中,为制定国际标准提供支持,确保他们与我们扶持创新和提升安全的承诺保持一致。
国土安全部将对接下来的协同工作拭目以待。通过携手合作,我们能够且必须应对这些复杂挑战,从而确保互联的未来不仅富有创新,而且具备安全性,能够持续发展。
通过从行业专家收集信息并与私营部门、商业协会、非政府实体和联邦合作伙伴(尤其是国家标准与技术研究院(NIST)和国家电信和信息管理局(NTIA)沟通探讨,我们制定了文中提及的安全原则。
国土安全部
其他联邦实体
国家安全电信咨询委员会
NTIA
a)评论
a)关于推动互联网发展研讨会的通告
NIST
a)CPS公共工作组网络物理系统框架第一版(草案)
截至2015年9月2日接受的意见
a)NIST新闻稿
联邦贸易委员会(FTC)
美国国会
政府问责办公室
a)最新状态/记录,2016年6月3日政府问责办公室与国土安全部积极合作清单
外部参考资料
其他资源仅供参考,并不代表国土安全部对这些资料认可。国土安全部不推荐任何商业产品、服务或企业。
大西洋理事会
我是骑兵
在线信任联盟
赛门铁克
[1] 本文中,“物联网”指的是通过互通协议(一般内置于嵌入式系统中)将主要用于物理用途(例如传感、加热/冷却、照明、电机驱动、运输等)的系统和设备连接到信息网络(包括互联网)。
[2] 国家安全电信咨询委员会呈总统的物联网报告,2014年11月19日
[3] 《信息共享》,国家网络安全和通信集成中心.