IoT设备的安全基线

物联网安全的构建

在诸如企业、教育机构和政府部门等物联网设备客户中，缺乏行业化的解决方案来缓解网络安全风险。过去保护传统IT的手段如今往往并无法保护物联网设备。随着新技术的出现，物联网设备给安全新加了一层需求，而客户则必须加入新的安全管控能力或者将现有的控制技术进行一些改变，才能减缓新的安全风险。

但是问题在于，并非所有的客户都知道如何将现有的IT安全控制转变为能兼顾物联网的安全控制。而物联网设备在缺乏适当的安全控制下，都有着相当多的漏洞；一旦这些漏洞被利用，会导致组织的服务遭到如DDoS之类的大规模攻击。

考虑上述的这些挑战，一份名为《物联网管理安全与隐私保护框架》NIST内部报告IR8228指出，指导物联网设备的用户在物联网安全中尤为重要，并且用户需要意识到物联网设备的安全风险，并为此做好缓解计划。这份报告也指出，客户和厂商之间也要建立强大的沟通渠道，尤其是针对网络安全的功能以及安全控制的预期方面。

IoT设备厂商如果没有和客户的清晰交流，是无法真正植入安全管控能力的。客户需要明白如何使用这些安全功能，然后他们才能根据自己的需求进行改动。因此，厂商需要就设备安全能力、设备透明度、软件和固件的更新透明度等信息进行分享，并且在整个产品的生命周期中提供支持。

其实，有时候，厂商更自身也需要一些帮助。在2019年7月，NIST发布了NISTIR 8259《可保护物联网设备的核心安全能力基线：物联网设备制造商的起步点》。这份报告提供了一些列给厂商的建议，帮助厂商识别客户的安全风险。以这份报告为起点，厂商可以确保他们的物联网设备能在使用的时候提供最低的安全保护。

这份NIST报告强调了物联网安全的关键因素：物联网设备厂商在整个产品周期中处于最前线的位置。通过将安全融入设计之中，厂商可以可以减少物联网设备被攻破的概率和严重性，同时也能限制设备能被利用进行攻击的种类。这份报告不包括用户如何部署以及使用物联网设备，其主旨是让物联网厂商提供最低限度的安全能力。

物联网安全基线的需求：物联网设备与传统IT设备

大部分的物联网设备都至少有一个面向网络的接口，以及至少一个和自己所在的物理环境进行直接交互的传感器。和传统IT设备不同的是，鉴于物联网对传统IT设备的影响不同，物联网设备的安全能力并未被完全理解。但是考虑到这些设备被用于智能决策，从而更好地对物理环境或者即将来临的时间进行分析和响应，在越来越多的功能以及越来越高的效率下，网络安全风险需要能被充分了解。

对于物联网设备安全，有三个高纬度的考量。首先，物联网设备和物理环境进行交互的方式会引来新的安全隐患以及隐私风险。其次，为了对物联网设备进行管控，可能需要进行一些人工操作，从而对员工能力要求有所提高。第三，物联网设备的安全能力有些不同；这就要求组织有能力决定如何通过选择和管理新的控制方式来响应反而鞥西安。同样，第三方通过物联网设备对组织内部进行远程接入也会带来新的挑战。

下表是物联网和传统IT设备之间的差异。

IoT设备		传统IT设备
与物理世界的交互	和物理系统进行交互	一般不和物理系统交互
管理功能	根据设备能力的不同，可能有一小部分或者完全没有相关功能。可能需要人工去接入、管理和监控。	一般而言，一个被授权的管理员可以在设备的全生命周期直接管理设备。
界面	部分设备没有设备管理界面。	可能会有多个用户交互界面。
软件管理	软件管理复杂，同时也受到配置和补丁管理影响。	软件管理有系统化方式。
安全功能	组织可能需要从可用性、效率和安全能力有效性进行选择、应用、以及管理。	组织可以有效地使用中心化安全管理能力。
售后功能附加	大部分物联网设备无法进行安装	可以安全新功能
监管	没有监管框架	IT设备能够通过和框架单元进行连接被监管。

NISTIR 8259概要

NISTIR 8259的报告中有专门一节讲述如何识别网络安全能力，让物联网厂商能够更好识别他们客户面临的风险。但是，由于不同客户都会因为各种各样的因素，面临独特的危险，因此厂商是无法完全理解他们客户相关的风险，以及危险系数。因此，通过一些物联网设备的用例，能让厂商给他们的客户提供最低限度的安全能力。所谓的“最低安全限度”，是指能帮助客户，根据他们的需求以及需要缓解的风险，修改他们的安全控制能力。最终，客户基于他们希望和他们的物联网设备集成的控制能力，对自己的系统进行安全保护。

这个基线有关于功能、必要元素、基本原理、相关案例的详细信息。网络安全功能识别已经是现有的风险管理中的一部分，而物联网设备厂商已经作为设计流程的一部分在进行实践。这些都是额外需要考虑的内容，不应该和风险管理流程混淆。

网络安全功能设计包括设备管理、配置、网络属性、设备数据以及接入权限等。除了识别这些功能外，该报告也介绍了如何应用这些功能。功能的应用需要定义物联网设备专门的硬件、软件、固件需求，同时还要理解在部署在特定物理环境时的网络安全内在能力。

报告还包括了保护软件开发过程，从而确保物联网设备确实满足了安全能力的建设。物联网设备可能在他们发布的时候带有大量漏洞，从而成为系统和网络被攻击的根本原因。因此，物联网设备的设计安全，以及在制造时期仔细加入安全控制，能够减轻因未被发现的漏洞产生的影响。NIST还提供了一些其他的指导、标准和报告等，供厂商作为起步。

两个高等级的风险缓解目标

NISTIR 8259中基于NIST网络安全框架以及NIST SP 800-53设置了两个关键的高等级缓解目标：

• 保护设备安全：防止设备被用于进行攻击。物联网设备容易被利用作为攻击的发起点，会对网络流量进行窃听，或者实施DDoS攻击。这一点的目标是防止任何物联网设备成为“僵尸设备”。
• 保护数据安全：物联网设备收集了大量的信息，可能包含了个人身份识别信息等敏感信息。该目标是保护由物联网设备收集、储存、处理或者进行传输数据的保密性、完整性以及可用性。

这两个目标可以通过资产管理、漏洞管理、接入管理、数据保护以及事件检测实现。

结论

NISTIR 8529可以作为物联网设备厂商识别必要安全功能的一个起点，它定义了一些核心安全能力的基线。通过安全设计，安全能力能从一开始就能被内置在设备中。

这一核心基线由能支持大部分客户的安全管控技术能力需求组成。核心基线是最低安全能力设备的关键出厂设置。但是，它并未指出具体实现这些功能的方式，从而需要厂商为了能有效服务客户，需要有灵活的部署方式。

关键词：物联网安全；IoT安全；

相关链接

• 5G对物联网安全的8个关键影响
  

• 六方云再获融资，专注物联网安全与时间做朋友

• 解决第三方物联网漏洞需要转变网络安全范式