隨著越來(lái)越多設(shè)備連接到互聯(lián)網(wǎng),專家們擔(dān)心嵌入式系統(tǒng)將給企業(yè)帶來(lái)嚴(yán)重安全風(fēng)險(xiǎn),而很多企業(yè)還沒(méi)有意識(shí)到這種風(fēng)險(xiǎn)或者無(wú)法緩解這種風(fēng)險(xiǎn)……
有些人擔(dān)心非傳統(tǒng)聯(lián)網(wǎng)設(shè)備的增加可能意味著為攻擊者提供更多潛在切入點(diǎn)來(lái)入侵企業(yè)。同時(shí),很多這些設(shè)備都屬于嵌入式系統(tǒng)范疇���,該領(lǐng)域的專家擔(dān)心,從嵌入式技術(shù)令人擔(dān)憂的歷史來(lái)看���,這種技術(shù)可能給企業(yè)帶來(lái)最嚴(yán)重的安全風(fēng)險(xiǎn)���。
傳統(tǒng)上來(lái)看,嵌入式設(shè)備包含很小的芯片組�,并有“精簡(jiǎn)版”操作系統(tǒng)—這通常是Linux。企業(yè)中最常見(jiàn)的嵌入式設(shè)備是U盤——該設(shè)備曾用來(lái)加載臭名昭著的Stuxnet惡意軟件�,以及聯(lián)網(wǎng)打印機(jī),甚至還有現(xiàn)在的硬盤驅(qū)動(dòng)器固件——最新曝光的Equation間諜軟件就存在其中����。
然而,物聯(lián)網(wǎng)的出現(xiàn)讓該類別的設(shè)備正迅速增加����,物聯(lián)網(wǎng)將網(wǎng)絡(luò)功能擴(kuò)展到廣泛的設(shè)備中,這些設(shè)備以前從沒(méi)有過(guò)這種功能���,例如恒溫器和冰箱等辦公設(shè)備��。這樣一來(lái)��,企業(yè)可能很快就會(huì)發(fā)現(xiàn)他們網(wǎng)絡(luò)中出現(xiàn)更多新的攻擊點(diǎn)���,并且��,專家并不確定這些新一代嵌入式設(shè)備是否已經(jīng)解決了前一代的安全漏洞����。
根據(jù)安全咨詢公司Chosen Plaintext Partners首席技術(shù)官Benjamin Jun表示����,嵌入式系統(tǒng)歷來(lái)都會(huì)使用大量專有組件,并沒(méi)有與其他系統(tǒng)共享太多共同電路���,這意味著當(dāng)發(fā)現(xiàn)漏洞時(shí)���,由于成本或資源限制,漏洞不太可能得到修復(fù)�����。
Jun稱���,現(xiàn)代嵌入式系統(tǒng)已經(jīng)不再是這種模式����,它們開(kāi)始與其他流行移動(dòng)設(shè)備共享一些相同的內(nèi)部系統(tǒng)組件(例如ARM芯片),但嵌入式設(shè)備通常必須在幾年甚至幾十年受到支持�����,這又會(huì)導(dǎo)致一些新的問(wèn)題�����。
“手機(jī)更新?lián)Q代很迅速����,但嵌入式系統(tǒng)往往會(huì)使用更長(zhǎng)時(shí)間���,”Jun稱����,“手機(jī)快速迭代的過(guò)程并沒(méi)有出現(xiàn)在持續(xù)使用10年到20年的嵌入式設(shè)備中�����,調(diào)試這些設(shè)備的團(tuán)隊(duì)會(huì)繼續(xù)向前發(fā)展,所以安全過(guò)程很有限�����。”
Jun表示�,除了嵌入式系統(tǒng)需要的支持水平,即使有可用的軟件更新����,企業(yè)可能都會(huì)忽視這些設(shè)備,因?yàn)閺闹С趾蜕?jí)方面來(lái)看每節(jié)點(diǎn)成本更低�����。
“筆記本電腦成本相當(dāng)高����,但這些成本是合理的,因?yàn)槟阒栏喙P記本電腦會(huì)帶來(lái)更高的生產(chǎn)效率����。但是打印機(jī)或者智能溫控器呢?”Jun稱,“對(duì)于增量?jī)r(jià)值被認(rèn)為很低的東西���,你愿意花多少成本來(lái)確保其安全性?”
根據(jù)Jun表示�����,最常被忽略的嵌入式威脅之一是VoIP會(huì)議電話和其他有麥克風(fēng)的設(shè)備����,其中麥克風(fēng)可以在不被察覺(jué)的情況下打開(kāi)來(lái)記錄敏感信息。
這僅僅只是個(gè)開(kāi)始����。物聯(lián)網(wǎng)的普及意味著企業(yè)將面對(duì)更廣泛類型設(shè)備帶來(lái)的安全問(wèn)題。也就是說(shuō)�,除了U盤和打印機(jī)��,可穿戴設(shè)備和其他尖端設(shè)備都可能會(huì)進(jìn)入企業(yè)網(wǎng)絡(luò)��,而且通常它們沒(méi)有內(nèi)置安全控制�。
同樣地,智能恒溫器或冰箱等設(shè)備將帶來(lái)新風(fēng)險(xiǎn)�,并且,這些設(shè)備的支持責(zé)任可能很模糊��,因?yàn)樗鼈兛赡軐儆谖飿I(yè)管理者��,而不在企業(yè)IT部門的職權(quán)范圍。
安全的設(shè)計(jì)
專家指出目前還不知道在長(zhǎng)期來(lái)看新的嵌入式設(shè)備是否將比過(guò)去嵌入式系統(tǒng)得到更好的支持��,但保護(hù)嵌入式設(shè)備的關(guān)鍵是在一開(kāi)始就安全地設(shè)計(jì)設(shè)備�。
“你必須在一開(kāi)始設(shè)計(jì)硬件和固件時(shí),就確保它們可以防止惡意軟件訪問(wèn)或物理篡改��,”Imation公司分公司IronKey工程和產(chǎn)品管理副總裁Ken Jones表示�����,“固件可以在現(xiàn)場(chǎng)進(jìn)行升級(jí)來(lái)修復(fù)漏洞和安全漏洞���,這非常常見(jiàn)�,但在你進(jìn)行這個(gè)過(guò)程時(shí)如果沒(méi)有全面思考���,你將制造更多問(wèn)題�。”
根據(jù)Jones表示�����,安全的設(shè)計(jì)包括防止對(duì)設(shè)備的物理篡改��、加密以及固件數(shù)字簽名���。
很多老舊的嵌入式系統(tǒng)需要在現(xiàn)場(chǎng)執(zhí)行更新���,相比之下����,企業(yè)應(yīng)該更喜歡使用數(shù)字簽名固件的系統(tǒng)����,這些固件不僅在安裝之前會(huì)檢查安全性,在第一次運(yùn)行之前也會(huì)進(jìn)行檢查�。但這可能很困難,所以企業(yè)可能需要改變嵌入式設(shè)備政策��。
“從企業(yè)的角度來(lái)看��,這是關(guān)于允許什么連接到網(wǎng)絡(luò)�����,使用端點(diǎn)保護(hù)來(lái)阻止除白名單產(chǎn)品以外的設(shè)備���,”Jones稱,“這應(yīng)該會(huì)讓企業(yè)非常嚴(yán)格地明確哪些可以連接到網(wǎng)絡(luò)�,我認(rèn)為我們將會(huì)看到企業(yè)開(kāi)始限定允許聯(lián)網(wǎng)的設(shè)備��。”
Wind River Systems公司IoT解決方案高級(jí)主管Alexander Damisch同意這種說(shuō)法���。Damisch建議企業(yè)安全地設(shè)計(jì)自己的基礎(chǔ)設(shè)施,這可能包括在發(fā)送或接收企業(yè)網(wǎng)絡(luò)的數(shù)據(jù)之前對(duì)設(shè)備進(jìn)行身份驗(yàn)證;因?yàn)楹茈y檢測(cè)嵌入式固件中的惡意軟件���,監(jiān)控流量是關(guān)鍵��。
“這就是說(shuō)���,企業(yè)需要在一定程度上管理個(gè)人設(shè)備,這是用戶不喜歡的事情�,”Damisch稱,“但另一種選擇是���,讓用戶根本就沒(méi)有訪問(wèn)權(quán)限��。最關(guān)鍵的不是阻止個(gè)人設(shè)備����,而是讓用戶知道系統(tǒng)被設(shè)計(jì)成這樣�����,這可以幫助員工更容易地接受這種做法。”
Damisch還主張��,對(duì)網(wǎng)關(guān)背后或虛擬系統(tǒng)中的易受攻擊嵌入式系統(tǒng)進(jìn)行隔離���,這通常是更具成本效益的做法�,并允許更新網(wǎng)關(guān)規(guī)則來(lái)阻止新的威脅���,畢竟嵌入式系統(tǒng)可能會(huì)變化���,因?yàn)樗鼈儧](méi)有被設(shè)計(jì)為經(jīng)常更新。
“重新設(shè)計(jì)很困難����,因此,你應(yīng)該找到安全薄弱的地方��,要么把它放在虛擬系統(tǒng)�����,或者在前面部署網(wǎng)關(guān)�����,從而監(jiān)控和加密其中的所有流量�����,”Damisch稱��,“安全應(yīng)該是從開(kāi)發(fā)過(guò)程就開(kāi)始考慮的因素���。”
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來(lái)源于互聯(lián)網(wǎng)共享平臺(tái)�。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的����,皆為無(wú)意。如您是字體廠商�����、圖片文字廠商等版權(quán)方����,且不允許本站使用您的字體和圖片文字等素材,請(qǐng)聯(lián)系我們�,本站核實(shí)后將立即刪除!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用����,并索要賠償或上訴法院的�,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索��,將不予任何的法律和經(jīng)濟(jì)賠償�!敬請(qǐng)諒解!
粵公網(wǎng)安備 44030402000264號(hào)