SSL信息
0×00、前言
最近因为工作关系接触到很多新兴物联网企业。各个企业对自身物联网安全没有一个整体的概念,同时对于解决方案提供商来说,物联网厂商对他们有很重的安全方面的要求。要么自研或者寻找现成的安全解决方案,在这样的背景下,想谈谈自己的观点,说明一下企业级物联网安全如何做。在传统安全走向业务安全的今天,IoT物理网安全也是一个重要发展方向。那么,根据其业务形态可以分为:
(1)工业控制物联网
(2)车载物联网
(3)智能家居物联网
(4)。。。
他们对安全的需求也不尽相同:
工业控制物联网:涉及到国家安全、再加上目前工业控制网络基本是明文协议很容易遭受攻击。所以很早就有很多安全公司看到这块蛋糕:威努特、匡恩网络等已经完成市场布局。主要产品形态:工控防火墙、工控漏洞挖掘、主机白名单产品。安全需求也不难看出,基本是传统安全的一套思路。
车载物联网:涉及到驾车人生命安全。但是目前是争标准的时代,据我了解,目前国内厂商也只有360在这方面有所建树。当然在标准没有确定之前,安全厂商都想做升级版的OBD,嵌入安全硬件。国外相关安全厂商产品形态大致是OBD防火墙、云端大数据分析异常监控等。安全需求还是集中在车载核心物联网硬件安全上。
智能家居:涉及到个人家庭隐私安全。这一块的安全投入,比较少。但是大的家电企业相对来说会多一点。这也是安全厂商的机会。
0×01、安全需求
要想做物联网安全,那么首先我们要了解企业级物联网架构。
工业控制物联网:
这个互联网上很多,就不在这描述了,大致就是工业物联网内外隔离。由一台安装ICS控制软件的计算机上传物联网所需要的数据。
车载物联网:
一般是由云端、APP、车机(android、Linux ARM)、高级OBD(Linux ARM)组成。
智能家居:
0×02、安全需求抽象
1.物联网通讯协议安全(XMPP、MQTT、自有协议)
需要物联网厂商提供提供协议访问API接口,以及访问证书,这样可以更全面的监控物联网设备,更好判断异常现象。针对MQTT协议,如果是XMPP,建议不要使用这种不支持TLS的物联网协议,协议本身就缺乏安全考虑。自有协议,建议是站在巨人的肩膀上做事情,因为你自己造的轮子可能有很多缺陷。其实也不建议用。如果出于成本的考虑,那在协议本身增加部分安全性限制。
2.物联网设备安全问题
2.1、IoT设备弱口令问题
有条件的做一次一密,不允许把密码固化到软件或者物联网设备固件中。否则你的物联网设计就是物联网僵尸中的一员(Mirai)。
2.2、IoT操作系统安全问题
通用系统漏洞检测,特别是那些可以提权的涉及到ARM的CVE-2015–569、CVE-2015–570、CVE-2015–571。
2.3、安全芯片到底能不能解决安全问题
个人觉得不是一个好的方向,intel收购Mcafee就是一个例子,最终安全技术没有整合到SoC中,还是ARM的天下。国际巨头都这下场,初创公司不适合做这块。
2.4、固件更新
有关固件更新的漏洞就更多了,升级没有签名检查、版本降级限制、内容未加密、无法验证来源等。
2.5、数据泄露
2013年,Target用户数据泄露事件,起因就是通过HVAC供应商物联网系统开始的。
3.云管端安全
3.1、安全边界设定混乱
由于App与IoT技术结合,目前很多物联网和现实当中的App网络互通,导致入侵的可能性。
3.2、API安全
传统Web安全漏洞同样影响物联网云端Web接口。
0×03、企业级IoT安全解决方案
1.传统安全防御解决方案
针对传统的连接互联网的网络以及传统的云端架构还是需要使用传统边界防护解决方案。
1)带防火墙模块硬件IPS:可以限制App访问的端口,以及做通过签名方式对传统的SQLi、XSS等做检测。
2)WAF:web应用防火墙:主要是通过上下文语义关联对OWASP Top 10攻击类型做检查和阻断。
3)定期对后端web应用、数据库服务器、物联网大数据分析平台等做操作系统、中间件、数据库漏洞扫描。当然建议配合一下渗透测试服务。这样会发现更多问题。
2.IoT安全解决方案
调研了各个物联网安全公司,大致的解决方案如下:
2.1、Agentless IoT设备资产管理
1)快速发现连接到您网络IoT设备
2)已经连接的IoT设备可视化
3)配置检测、基线检测。
2.2、快速安全响应
1)快速监测到异常终端
2)隔离可疑应用程序和停止攻击扩散到IoT网络
2.3、通过大数据分析IoT事件,预测其安全状态、给出预防建议。
2.4、IoT设备上安装状态防火墙、保证通讯协议安全。
0×04、安全解决方案实践
了解物联网安全厂商的思路后,其实我们可以总结一下,如果物联网项目本身周期很短,那么可以委托安全公司开发一套针对物联网安全监管平台。传统安全的老三样,其实购买就好。但是针对IoT设备端的安全目前还没一个很好的解决方案,国外的东西买来直接用风险太大。
那么,确定了思路后,那么IoT端的安全核心问题在哪里呢?其实不难看出,主要是针对物联网协议的解析和反控。所以,这部分的解决方案必须支持MQTT、XMPP等物联网协议。同时对IoT设备做到资产管理、MQTT协议审计和安全应急响应。
那么部署方式如何?
为了不干扰正常的物联网业务操作,建议通过端口镜像的方式部署设备。
那么,物联网安全管理设备有哪些功能呢?个人建议如下:
一、资产管理
1.列举硬件设备
(1)业务分组、硬件UUID、固件型号、GPS、软件资产
2.列举网络拓扑
(1)HUB
(2)Client
3.硬件软件生命周期跟踪
(1)软件升级管理
(2)漏洞管理
4.风险评估(基线扫描)
(1)PKI使用检测
(2)TLS证书检测
(3)应用消息和控制数据包的完整性检测
(4)设备防篡改检测
(5)客户端证书检测
二、MQTT协议审计
1.物联网访问流量审计
(1)重复认证尝试(暴力破解)
(2)尝试发送或订阅许多主题
(3)发送无法送达的邮件
(4)连接但不发送数据的客户端
2.外部流量审计 -App、互联网访问
三、安全应急响应
1.自动客户端断开机制
2.动态访问控制列表(例如IP地址或客户端GUID)
3.速率限制和/或阻塞(例如IP地址)
0×05、总结
本文抛砖引玉和大家聊聊物联网安全,各大安全厂商也在布局物联网安全,几年前就听说梆梆安全已经布局物联网安全。但是不了解是否做有关协议安全相关的事情。有了解的话,大家相互讨论一下。
转自:http://www.freebuf.com/articles/system/121199.html