如何确保联网设备中漏洞不会导致整个组织出现瘫痪

文 |Jeff Shiner美光科技物联网解决方案总监

今年6月27日，一款名为Petya的勒索病毒变种又开始肆虐。这场病毒迅速蔓延，全球最大的传播集团WPP不幸中招，旗下众多公司被迫切断工作，以防电子设备感染病毒。

此次攻击对西班牙电信公司和英国国家卫生系统(NHS) 等造成了重创，不仅感染了电脑，还可能影响到了 NHS 中的其他联网设备，例如MRI 扫描仪、血液储存冰箱和手术室设备。

不幸的是，这并不是个别事件。不妨想一想：

• 去年秋季，一种名为Mirai的恶意软件侵入到世界各地的DVR、IP 摄像头及其他设备中，发起了重大的恶意软件攻击活动，其中包括分布式拒绝服务(DDoS) 攻击。DDoS 攻击先是侵袭了域名系统(DNS) 提供商 Dyn，之后又将矛头对准 Twitter、Reddit及其他重要网站，导致这些网站运行中断。

• 今年早些时候，黑客攻击了达拉斯市的紧急警报系统，在整个城市拉响了警报，直攻市政基础设施网络防御体系中的漏洞。

随着物联网的问世，大量更重要的目标成为了网络犯罪分子的众矢之的，因此，我们需要积极主动地应对这种情况并相应地进行规划。

根据Sage Business Researcher的调查结果，联网设备的数量预计在2020 年将达到 500 亿。这一数字一直在以惊人的速度增长：2016年时尚且不到 250 亿，2012 年时尚且不到100 亿。制造商们一直在争先恐后地向市场投放物联网设备，有些时候，并未将安全性作为优先要务。

雪上加霜的是，物联网并未实现标准化，尤其是与个人电脑(PC) 和智能手机市场的统一性相比，更是如此。物联网设计受到了分散式安全实施方法的束缚，而后者又是由各种系统、半导体和软件级选项决定的，这些选项组合到一起后，问题的复杂性大幅增加。最重要的一点是，提升一组物联网设备的安全性并不能为数十亿的其他设备带来安全性的改进。

现在有人在努力建立安全框架来指导OEM 在设计中融入适当级别的安全性。推进这些计划的团体提倡在软硬件中集成重要的安全组件、设置深层防御安全性，以及实施其他策略来利用许多最新的已知解决方案。美国工业互联网联盟(IIC) 撰写的一篇名为“工业互联网安全框架”(IISF) 的文档中就介绍了一个这个领域中的很好示例。此外，美国联邦贸易委员会(FTC) 也一直在努力应对各种威胁，例如 2015 年，它敦促物联网公司采用最佳安全保护做法。

尽管做了如此多的工作，漏洞问题仍然十分严峻，尤其是那些《财富》100强之外的公司，他们无力配备强大的网络安全人员或划拨相应预算，而且因为现成的物联网安全解决方案缺乏统一性而受到阻碍。

出乎意料的是，在当前物联网系统所存在的最大漏洞之一“代码存储内存”中，可能可以找到易于实施、可能也更安全的方法来应对这种挑战。通过以全新的创新方式来利用存储技术并将其与基于云的功能结合起来，有望创造更强大的安全性。

在比较高级的安全性攻击中，恶意代码被写到非易失性存储中。这种情况通常发生在位于网络边缘或网络边缘附近的设备上，也就是发生在端点或物联网中的“物”上。一旦这些设备受到感染，攻击者便可以利用它们，与其他设备组成更大的僵尸网络或单独在目标系统上行动。在这些攻击中，许多都是在利用现如今已经发布的已知安全漏洞，并且一直在寻找可供利用的新“零日”漏洞。

2016 年底出现了其他一些常见的攻击策略，其中就有基于 Mirai 的僵尸网络攻击。这种攻击利用的是 DVR、IP 摄像头和家用路由器等出厂时保留的不安全默认设置的物联网设备。在高峰期，这些设备对各种网站发起 DDoS 攻击，其中包括 Twitter、Amazon 和 Reddit，比较讽刺的是，KrebsOnSecurity 也在被攻击之列。

在上述两种攻击策略中，设备 OEM 可以采用以下长期解决方案：重新设计主要硬件和软件，部署设备和云解决方案以监控设备的完整性并在设备受到入侵时进行修复。

但是，哪里有弱点，哪里就有机会。如果可以通过加密方式对存放在存储中的关键代码执行身份验证，并且该代码可以成为相应物联网设备的一部分，那么，将该代码与云中的出色功能结合起来，便可以通过端到端身份验证和加密固件管理极大地限制黑客在设备上植入恶意软件的能力。

多年以来，人们一直使用一组名为“信任根”(RoT) 的功能来提高网络安全性。RoT 提供通常驻留在可信计算模块中的安全服务，并且可以由操作系统安全地用来验证设备的身份和运行状况，从而基本上确认该设备是网络的组成部分并且未被感染。

到目前为止，提供这种安全性的重任还是由 CPU、SoC 和硬件安全模块 (HSM) 来担负。不幸的是，即便是使用这些组件及其所提供的安全保护，黑客也仍然可以在物联网设备中逻辑组件之下的各个级别发动攻击，并破坏或停止系统。随着攻击的复杂性越来越高，高级持久性威胁 (APT) 正在成为更严重的问题，这是因为，黑客将注意力放在了越过物联网设备的逻辑部分，将代码植入到设备的存储之中。

通过提升解决方案的更多部分的安全性（即“纵深防御”）并确保将存储考虑在内，可以提升安全性。此外，这种方法注定相对简单、成本较低、影响不大，可以更广泛地应用到当今那些正遭受各种攻击的物联网设备。

美光科技正在寻求一种方法来将设备 ID 和小型加密处理功能这两个元素直接置于存储中。这些元素组合起来将生成一些信息，从而使云计算资源能够确认存储的身份和运行状况以及所含数据。这样一来，可以通过 CPU、SoC 和 HSM 加强最低启动级别及负载分流工作的安全性。

这一方法在近期微软和美光宣布建立的安全合作伙伴关系中得到了印证。这两家公司专注于两个关键方面，从而可以简化客户为确保物联网设备正常运行并启用设备身份标识而实施安全保护的方式。第一步是创建内置在标准硬件中的端到端安全连接，使客户能够只通过软件开发包 (SDK) 便可以提升系统功能。通过利用可信计算组织 (TCG) 的一种名为“设备身份合成引擎”(DICE) 的新标准，微软 Azure 物联网云和美光 Authenta™技术可帮助确保只有受信任的硬件才能访问物联网云。

该解决方案可验证通常用来存储关键代码的硬件的身份和运行状况，预期能为物联网设备提供新的安全优势。有了这一身份标识功能，Azure 物联网枢纽可以验证设备的状态是“好”还是“坏”，并采取相应的后续措施，例如，启用设备运行状况证明和配置等较高级的功能，以及使管理员可以在现场安全地修复受到入侵的设备。

在存储中执行物联网设备身份验证这种方法不仅在最低启动级别提供了独一无二的保护级别，还利用了数十亿个物联网设备中已有的标准闪存插槽。各家公司在当前设计和旧设计中均可利用支持 Authenta 的美光闪存，通过修改软件来实现新的安全功能。微软和美光均提供了带有软件开发包 (SDK) 的核心中间件，以便在 Azure 中的主机上、网关处甚至端点上启用这些解决方案，这进一步简化了软件资源要求。这种解决方案旨在更轻松地为新平台和设备提供安全的物联网云管理和连接，以及能够更轻松地改进旧系统。

任何一种安全机制都不是完美的，但是可以通过增添重要的纵深防御功能来提升安全性。尤其是在物联网兴起并且网络边缘易受攻击设备的数量不断增加的今天，更是如此。利用微软和美光打造的这类全新解决方案，端到端设备管理将会更加安全，成本也会更低。监控和管理物联网设备的运行状况是企业要做出的最复杂决策之一。与此同时，要快速消除已知安全漏洞并使黑客的成本超出其所获利益是非常困难的。通过利用最佳的网络安全保护做法和新形成的生态系统，许多公司的安全实施都应该会开始变得更加有效且开销更低。