內(nèi)蒙古德明電子科技有限公司產(chǎn)品解決方案 聯(lián)系電話:15384841043張工
一、物聯(lián)網(wǎng)的不同層次都面臨相同的安求需求
1、隱私保護
通過對感知層設(shè)備信息的采集,會直接或間接暴露用戶的隱私信息。所以隱私保護是物聯(lián)網(wǎng)安全問題中應(yīng)當注意的問題之一。
(1)威脅
基于數(shù)據(jù)隱私的威脅:數(shù)據(jù)采集、傳輸、處理過程中的隱私信息泄露。
基于位置隱私的威脅:各節(jié)點位置隱私以及物聯(lián)網(wǎng)在提供各種位置服務(wù)時的位置隱私泄露問題
(2)對策
通信加密、最小化數(shù)據(jù)采集、匿名化數(shù)據(jù)采集和處理、由相關(guān)用戶決定是否授權(quán)數(shù)據(jù)采集、路由協(xié)議隱私保護法保護節(jié)點準確位置信息
2、認證
(1)威脅
物聯(lián)網(wǎng)中部分訪問無認證或認證采用默認密碼、弱密碼。
(2)對策
要求用戶首次使用必須更改密碼,盡可能使用雙因素認證,對于敏感功能,需要再次進認證等。另一方面提高安全意識,采用強密碼并且定期修改密碼。
3、訪問控制管理
(1)威脅
未授權(quán)訪問,安全配置長期不更新、不核查。
(2)對策
身份和訪問管理、邊界安全(安全訪問網(wǎng)關(guān))。
持續(xù)的脆弱性和錯誤配置檢測清除。
主要關(guān)注點是網(wǎng)關(guān)。
4、數(shù)據(jù)保護
(1)威脅
數(shù)據(jù)泄露和篡改問題。
(2)對策
采用DLP數(shù)據(jù)防泄漏系統(tǒng)。
5、物理安全
(1)威脅
部署在遠端的缺乏物理安全控制的物聯(lián)網(wǎng)資產(chǎn)有可能被盜竊或破壞。
(2)對策
盡可能加入已有的物理安全防護措施。
并非技術(shù)層面的問題,更應(yīng)作為標準的一部分進行規(guī)范。
6、設(shè)備保護和資產(chǎn)管理
(1)威脅
設(shè)備的配置文件被破壞、設(shè)備的數(shù)量巨大使的常規(guī)的更新和維護操作面臨挑戰(zhàn)。
未認證代碼執(zhí)行。
斷電引起的異常。
設(shè)備逆向工程。
(2)對策
定期審查配置
固件自動升級(OTA)
定義對物聯(lián)網(wǎng)設(shè)備的生命周期控制。
對代碼簽名以確保所有運行的代碼都是經(jīng)過認證的,以及運行時防護。
斷電保護。
用白盒密碼來應(yīng)對逆向工程
物聯(lián)網(wǎng)環(huán)境下有兩點尤其要注意,一是眾多設(shè)備如何升級,二是對于設(shè)備的逆向工程。對于第一點,應(yīng)定義對于物聯(lián)網(wǎng)設(shè)備的全生命周期控制,并提供設(shè)備固件自動升級的方式;對于第二點,目前已知的技術(shù)是采用白盒密碼。
7、拒絕服務(wù)攻擊
(1)威脅
在物聯(lián)網(wǎng)中拒絕服務(wù)攻擊主要分為兩種,一種是對設(shè)備進行攻擊,如:一直給電子標簽發(fā)送惡意請求信息,使標簽無法響應(yīng)合法請求,另一種是控制很多物聯(lián)網(wǎng)設(shè)備對其它系統(tǒng)進行攻擊
(2 )對策
針對第一種攻擊,物聯(lián)網(wǎng)遠端設(shè)備需要嵌入式系統(tǒng)抵抗拒絕服務(wù)攻擊。針對第二種攻擊,一方面加強對節(jié)點的保護,防止節(jié)點被劫持,另一方面也需要提供有效地識別被劫持的節(jié)點的方法。
Zilog和 Icon Labs 聯(lián)合推出了使用 8 位 MCU的設(shè)備的安全解決方案。防火墻控制嵌入式系統(tǒng)處理的數(shù)據(jù)包,鎖定非法登錄嘗試、拒絕服務(wù)攻擊、packet floods、端口掃描和其他常見的網(wǎng)絡(luò)威脅。
8、病毒攻擊
(1)威脅
病毒攻擊指在計算機程序中插入的破壞計算機功能或者數(shù)據(jù)的代碼。
(2 )措施
物聯(lián)網(wǎng)設(shè)備需要代碼簽名,以確保所有運行的代碼都是經(jīng)過授權(quán)和認證的。
誠信 賽門鐵克的白皮書中指出設(shè)備保護需要對代碼簽名以確保所有運行的代碼都是經(jīng)過認證的;天威 VeriSign代碼簽名證書;Instant SSL、微軟、Digicert 等都在做代碼簽名相關(guān)的工作
9、APT攻擊
(1 )威脅
APT(Advanced Persistent Threat)指的是高級持續(xù)性威脅。 利用先進的攻擊手段有組織地對特定目標進行長期持續(xù)性網(wǎng)絡(luò)攻擊。
APT 入侵途徑主要包括以下幾個方面。
1 )以智能手機、平板電腦和 USB 等移動設(shè)備為攻擊對象,進而入侵企業(yè)信息系統(tǒng)。
2 )惡意郵件,釣魚網(wǎng)站,惡意鏈接等。
3 )利用防火墻、服務(wù)器等系統(tǒng)漏洞繼而入侵企業(yè)網(wǎng)絡(luò)。
(2 )對策
1 )使用威脅情報。
及時獲取最新的威脅情報信息,如:APT操作者的最新信息;不良域名;惡意郵件地址,附件,主題;
惡意鏈接和網(wǎng)站等信息,及時進行防護。
2 )建立防火墻和網(wǎng)關(guān),進行訪問控制。定期檢查配置信息,及時更新升級。
3 )收集日志進行分析和溯源。
4 )全網(wǎng)流量行為的模型建立和分析。
5 )對用戶的訪問習慣進行監(jiān)測。
在檢測到 APT 攻擊的同時,也可以對 APT 攻擊進行監(jiān)測和溯源分析,并將威脅情報共享。
10、蜜罐
蜜罐是設(shè)置好故意讓人攻擊的目標,引誘黑客前來攻擊。所以攻擊者入侵后,你就可以知道他是如何得逞的,可以讓人隨時了解針對系統(tǒng)所發(fā)動的最新的攻擊和漏洞。
11、態(tài)勢感知
態(tài)勢感知是大規(guī)模系統(tǒng)環(huán)境中,對能引起系統(tǒng)狀態(tài)發(fā)生變化的安全要素進行獲取,理解,顯示以及預測未來的發(fā)展趨勢。
異常行為檢測
運用大數(shù)據(jù)分析技術(shù),在特定的環(huán)境中,進行全流量分析和深度包檢測。
一個異常行為檢測系統(tǒng)應(yīng)能自動進行異常行為檢測,對客戶的網(wǎng)絡(luò)進行分析,知道什么是正常的行為,并建立一個基線,然后如果發(fā)現(xiàn)不正常的或者可疑的行為就會報警。除監(jiān)視應(yīng)用程序的行為外,它還應(yīng)監(jiān)視文件,設(shè)置,事件和日志,并報告異常行為。
總結(jié)有兩種方法,一個是建立正常行為的基線,從而發(fā)現(xiàn)異常行為,另一種是對日志文件進行總結(jié)分析,發(fā)現(xiàn)異常行為。
12、脆弱性評估
客戶如何知道他們是否采用了足夠的安全措施,或者是否采用了正確的步驟來保護他們的資產(chǎn)和業(yè)務(wù)??蛻粜枰獜谋姸嗟墓嫉臉藴屎妥罴褜嵺`中獲取信息來指導他們的工作,但是有時候閱讀和理解一些相關(guān)的標準有些困難。所以需要為用戶提供一套解決方案來被動或者主動地評估系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用,發(fā)現(xiàn)不良行為,并不斷提供脆弱性評估報告。
脆弱性評估應(yīng)具備從多傳感器中收集到的網(wǎng)絡(luò)通信和事件信息數(shù)據(jù)來分析環(huán)境的脆弱性和威脅的能力,對IT 安全進行持久的監(jiān)控。
13、威脅情報交換
物聯(lián)網(wǎng)設(shè)備的經(jīng)銷商,制造商甚至政府機構(gòu)能夠合作起來,及時發(fā)現(xiàn)各類木馬病毒和0day漏洞威脅,防范并攔截APT攻擊,未知威脅等新型惡意攻擊,實現(xiàn)共贏局面。
14、可視化展示
可視化展視能夠直觀呈現(xiàn)數(shù)據(jù)特點,同時容易被讀者接受和理解,所以大數(shù)據(jù)分析(深度包檢測、全流量分析)結(jié)果需要可視化展示,
15、物聯(lián)網(wǎng)事件響應(yīng)措施
當系統(tǒng)遭到攻擊時,需要快速的識別攻擊來源,攻擊路徑,對攻擊做出快速的響應(yīng),在攻擊造成更大的破壞之前,實施有效的措施,減少損失。在攻擊之后,需要快速地防止此類攻擊的再次發(fā)生。采用的策略一般是態(tài)勢感知中的常用方法、異常行為檢測和及時打補丁。
16、通信保護
物聯(lián)網(wǎng)設(shè)備與設(shè)備之間,設(shè)備與遠程系統(tǒng)之間需要進行通信,如果通信缺少傳輸加密和完整性驗證,那么通信很可能會被竊聽或篡改。通信保護需要對于設(shè)備和遠程系統(tǒng)之間的通信進行加密和認證。
在工控場景中,可通過單向網(wǎng)閘,實現(xiàn)數(shù)據(jù)只能從低安全等級的系統(tǒng)流向高安全等級的系統(tǒng)。
17、日志和審計
(1 )威脅
對于威脅的檢測。
行業(yè)安全標準的合規(guī)。
(2 )對策
日志分析。
合規(guī)性檢查。
從行業(yè)角度來說,特定行業(yè)的合規(guī)性必不可少。對于日志分析有可能發(fā)現(xiàn)潛在威脅,但關(guān)鍵點在大數(shù)據(jù)的分析能力。
聲明:本文內(nèi)容及配圖由作者撰寫及網(wǎng)上轉(zhuǎn)載。文章觀點僅代表作者本人,文章及其配圖僅供學習之用,如有內(nèi)容圖片侵權(quán)或者其他問題,請聯(lián)系本站作侵刪。