重磅 | 網絡安全行業測試标準組織釋出其首個《物聯網安全産品測試指南》

8月31日，網絡安全業界著名的反惡意軟體測試标準組織(Anti-Malware Testing Standards Organization，AMTSO)釋出其首個《物聯網安全産品測試指南》，(Guidelines for Testing of IoT Security Products)。該指南将測試人員和供應商的意見很好地進行結合，内容涵蓋了物聯網安全産品測試的原則，為測試人員提供測試環境、樣本選擇、測試特定安全功能以及性能基準測試等方面的建議。

一、釋出背景

萬物互聯時代已經到來，随着智能硬體創業的興起，大量智能家居和可穿戴裝置進入了人們的生活。根據Gartner報告預測：2020年全球IOT物聯網裝置數量高達260億個。2021年，這一數字已經超過了300億大關。

預計到2025年将有超過750億台裝置連接配接到網際網路，連接配接到網際網路的裝置數量呈指數增長。但是由于安全标準滞後，以及智能裝置制造商缺乏安全意識和投入，物聯網已經埋下極大隐患，是個人隐私、企業資訊安全甚至國家關鍵基礎設施的頭号安全威脅。試想一下，無論家用或企業級的互連裝置甚至到國家關鍵基礎設施，如接入網際網路的交通訓示燈，恒溫器，或醫用監控裝置，國家電網、交通等遭到攻擊，後果都将非常可怕。基于此背景，國際反惡意軟體測試标準組織（AMTSO），（其會員由60多家全球頂級資訊安全廠商和知名檢測機構組成），為推動物聯網安全産品獨立的基準測試和認證工作，釋出其首個《物聯網安全産品測試指南》，在全球範圍内促進威脅情報共享。

二、針對物聯網的攻擊威脅進行分類

《物聯網安全産品測試指南》中，針對物聯網的攻擊進行了區分，主要包括入侵攻擊、出口攻擊以及網絡内攻擊，它們可以單獨或組合使用。

入侵攻擊是在受安全産品保護的區域網路（LAN）外圍發起的攻擊。這些攻擊可能是：攻擊者執行的主動掃描；對可通過網際網路通路的管理或/和其他服務或接口進行暴力攻擊；攻擊者通過網際網路主動執行的攻擊，目的是通路受安全産品保護的本地網絡中的裝置。盡管攻擊具有“入侵”性質，但安全産品可以使用以出口為重點的防護措施來保護網絡，這一點至關重要。指南指出，測試人員應額外考慮這種行為：例如，在物聯網世界中，攻擊者通常直接或通過其他受感染的裝置執行指令注入，這會将此類攻擊歸類為“入侵”。測試者必須考慮所有攻擊階段，并根據實際表現進行評分。

出口攻擊是由受安全産品保護的區域網路邊界内的裝置發起的攻擊。攻擊可能源自另一種類型的攻擊，或不同類型攻擊的單獨階段。例如：“遠端代碼執行”攻擊，用于将腳本或惡意二進制檔案下載下傳到受攻擊的裝置上。另一種常見的出口攻擊類型是掃描其他目标以在未來進行攻擊，或者将受感染的裝置用作DDoS攻擊的一部分。

網絡内攻擊是安全産品保護的區域網路邊界内“橫向移動”的例子，比如攻擊源自邊界内的裝置，而目标是同一網絡中的另一台裝置。應該注意的是，對于一般的購物/辦公應用程式來說，網絡内檢測是極其困難和昂貴的。

三、物聯網安全産品測試六大準則

（1） 測試遵循“結果相同，無差異評分”的一般原則

所有測試和基準測試都應關注于驗證所傳遞給使用者的最終結果和性能，而不是産品在後端的運作方式。例如，使用MUD（Manufacturer Usage Descriptions）技術保護網絡的裝置不應該與使用ML（Machine Learning）的裝置得分不同，假設它們的性能和行為是相同的。是以，指南建議，隻要結果相同，就不應在使用機器學習或制造商使用說明的産品之間進行評級差異。

（2） 威脅樣本選擇可根據目标裝置的作業系統類型、CPU架構的不同進行區分

該指南為針對物聯網安全解決方案基準測試選擇正确樣本的挑戰提供了指導。指南建議，理想情況下，威脅樣本可以分為工業和非工業，進一步根據針對的作業系統、CPU架構和嚴重性評分進行分類。

物聯網裝置通常不運作Windows系統，是以選擇明确針對物聯網裝置或通用Linux裝置的惡意軟體樣本至關重要。還可通過MIPS、MIPSEL、ARM等物聯網裝置常用的CPU架構進一步過濾。另一方面，一些威脅可能針對基于Windows的物聯網裝置甚至某些工業裝置，是以根據DUT（Device Under Test）原則，設定和方法，所有變量都需要考慮在内。在理想并資源密集的測試場景中，所有樣本都将分為工業和非工業樣本，并進一步根據威脅的目标裝置的作業系統和CPU架構以及威脅的嚴重性評分的不同而進行區分。測試人員應牢記測試的範圍，适當地選擇樣品，同時考慮到被測産品的保護範圍。特定情況下，使用更廣泛的威脅樣本，針對更廣泛的環境進行額外的測試可能有價值。

（3） 确定檢測到威脅後采取的措施有别于傳統網絡安全産品

在檢測和采取的措施方面，物聯網安全解決方案與傳統網絡安全産品的工作方式大不相同，例如，一些傳統網絡安全産品解決方案是簡單地檢測和阻止威脅而不通知使用者。該指南建議将威脅與可由測試人員控制的管理控制台一起使用，或者使用在進行攻擊時可以看到攻擊的裝置。如不可行，則可以對“被攻擊”的裝置進行網絡嗅探，以便從網絡角度确定攻擊。後一種方法可以擴充到網絡中受安全産品保護的所有裝置。

（4） 用替代品來模仿真實的物聯網裝置以測試攻擊

在理想情況下，所有測試和基準測試都将在使用真實裝置的可控環境中執行。但是，設定可能很複雜，并且較難實作。如果測試人員不能在測試環境中使用真實裝置，建議他們通過在禁用安全裝置的安全功能的情況下運作所需的場景并檢查攻擊執行來驗證他們的方法。該指南建議就使用Raspberry Pi等替代品來模仿真實的物聯網裝置，以測試從未見過的惡意軟體的攻擊。

當無法在“受攻擊”模拟/基準測試中使用真實的物聯網裝置時，替代品應盡可能模仿真實裝置。指南提供了一種理想的方法是使用廉價的通用計算機，如Raspberry Pi，并通過安裝相關服務（如模仿物聯網IP攝像頭時的RTSP伺服器）和更改配置（如MAC位址、主機名、網絡配置）。通過這樣做，裝置的網絡探測指紋(Nmap)及其運作服務應該模仿真實裝置。測試人員應在其測試報告中反映模拟裝置的使用情況，并驗證威脅樣本是否可以在沒有安全解決方案的情況下對模拟裝置進行攻擊。

（5） 特定安全功能的測試可分階段單獨測試

由于對物聯網裝置的攻擊通常具有多個階段，是以可以單獨測試每個階段，而不是同時進行整個攻擊。在整個産品測試中，重要的是平衡“階段”測試和完整的端到端場景，并在測試報告中反映這些選擇。該指南包含針對不同攻擊階段的建議，包括偵察、初始通路和執行。他們概述了單獨測試每個階段與同時經曆整個攻擊的可能性。

一般攻擊的第一步都是偵察，在物聯網世界中，此類攻擊通常采用掃描開放端口和/或服務的形式。通常可通過安全産品中的功能來進行防護，例如進階入侵阻止清單、主動掃描并預警，甚至自動重新配置違規裝置。實驗室環境内的測試可以包括從廣域網側主動掃描裝置，或甚至欺騙已知攻擊的IP，并使用這些IP從廣域網側掃描網絡。初始通路防護基準應側重于專門針對物聯網裝置的攻擊載體，無論是指令注入、特定服務中的漏洞，還是遠端代碼/指令執行（RCE）漏洞。執行預防旨在防止攻擊者獲得初始通路權限後的攻擊階段的一組措施。此類攻擊可能包括其他惡意軟體的下載下傳階段、C2通信、DDoS攻擊等。

（6） 性能基準測試建議區分各種用例情況

《物聯網安全産品測試指南》還提供了有關性能基準測試的注意事項，建議區分各種用例。例如消費者與企業，延遲的嚴重性或每個協定的吞吐量降低要求，這取決于其目的。

由于物聯網安全産品通常在網絡層面運作，是以必須考慮對使用者體驗的影響，這主要是展現在增加延遲或/和降低吞吐量方面。網絡基準測試是一個複雜的話題，已經存在很多可用的資訊和方法，是以它超出了物聯網安全測試指南的範圍。但仍有一些測試人員需要牢記的建議：在對産品的性能進行基準測試時，考慮客戶用例是非常重要的。例如，入門級安全解決方案的吞吐量期望值将不同于中小企業解決方案。在每個協定的基礎上考慮增加的延遲也是非常重要的；例如，安全超文本傳輸協定/超文本傳輸協定（HTTPS/HTTP）流量對于實時視訊傳輸可能是關鍵的，但是對于互動式郵件存取（IMAP)協定增加幾秒鐘的延遲通常不是非常關鍵的。

四、幾點認識

（1） 可視為物聯網安全産品領域标準的起點

面對連接配接到網際網路的裝置數量呈指數增長而引發的物聯網安全問題，在最近兩年美國國家标準與技術研究院(NIST)就連續制定了NISTIR8259系列(适用于物聯網裝置制造商)和SP800-213系列(适用于聯邦機構)的網絡安全指南。NISTIR8259系列為物聯網裝置的制造提供了安全控制的方向與指引，SP800-213系列為美國聯邦機構部署物聯網裝置的工作提供網絡安全指導。但就目前來看。還沒有太多的資訊和指導來測試物聯網安全産品，是以《物聯網安全産品測試指南》的釋出在此領域無疑是一個很新的指導方針，是一個很好的起點。

（2） 資料接口的安全性需要測試人員重點關注

物聯網的核心是能夠從一個端點向另一個端點進行有效和無縫的資料交換。是以，了解和評估各種裝置之間的互動連接配接方式，以及資料交換是否安全，則顯得非常重要。隻要在整個通信鍊路的某處發生了漏洞，都将導緻資料的洩漏，并引起各種後續問題。另外，密切注視物聯網範圍内的任何異常行為或活動也是至關重要的。因為在裝置系統内部，任何資料的流轉都可能會被别有用心的黑客所利用。是以，安全測試人員要保持高度警惕，徹底并持續地監控各個資料接口的安全性。

（3） 沒有一勞永逸的安全準則，有效性有待考證

物聯網安全産品的測試與傳統網絡安全産品的測試完全不同，因為物聯網安全産品需要保護企業和家庭中各種不同的智能裝置，是以測試環境的設定更具有挑戰性。此外，由于智能裝置大多主要在Linux上運作，是以測試人員必須使用這些裝置容易受到攻擊的特定威脅樣本，以便使其評估具有相關性。通過該指南的指導，解決了這些特殊性，為公平的物聯網安全産品測試設定方向。同時也應看到，指南給出指導建議不是一個全面的安全準則，也不應該當作為一個全面的準則來看待，新指南标準在實踐中的有效性還有待觀察。

供稿：三十所資訊中心