企業級物聯網系統安全如何做？

000、前言

最近因為工作關系接觸到很多新興物聯網企業。各個企業對自身物聯網安全沒有一個整體的概念，同時對于解決方案提供商來說，物聯網廠商對他們有很重的安全方面的要求。要麼自研或者尋找現成的安全解決方案，在這樣的背景下，想談談自己的觀點，說明一下企業級物聯網安全如何做。在傳統安全走向業務安全的今天，iot實體網安全也是一個重要發展方向。那麼，根據其業務形态可以分為：

（1）工業控制物聯網

（2）車載物聯網

（3）智能家居物聯網

（4）。。。

他們對安全的需求也不盡相同：

工業控制物聯網：涉及到國家安全、再加上目前工業控制網絡基本是明文協定很容易遭受攻擊。是以很早就有很多安全公司看到這塊蛋糕：威努特、匡恩網絡等已經完成市場布局。主要産品形态：工控防火牆、工控漏洞挖掘、主機白名單産品。安全需求也不難看出，基本是傳統安全的一套思路。

車載物聯網：涉及到駕車人生命安全。但是目前是争标準的時代，據我了解，目前國内廠商也隻有360在這方面有所建樹。當然在标準沒有确定之前，安全廠商都想做更新版的obd，嵌入安全硬體。國外相關安全廠商産品形态大緻是obd防火牆、雲端大資料分析異常監控等。安全需求還是集中在車載核心物聯網硬體安全上。

智能家居：涉及到個人家庭隐私安全。這一塊的安全投入，比較少。但是大的家電企業相對來說會多一點。這也是安全廠商的機會。

001、安全需求

要想做物聯網安全，那麼首先我們要了解企業級物聯網架構。

工業控制物聯網：

這個網際網路上很多，就不在這描述了，大緻就是工業物聯網内外隔離。由一台安裝ics控制軟體的計算機上傳物聯網所需要的資料。

車載物聯網：

一般是由雲端、app、車機（android、linux arm）、進階obd（linux arm）組成。

螢幕快照 2016-11-24 下午1.41.19.png

　　智能家居：

螢幕快照 2016-11-24 下午1.41.27.png

　　002、安全需求抽象

1.物聯網通訊協定安全（xmpp、mqtt、自有協定）

需要物聯網廠商提供提供協定通路api接口，以及通路證書，這樣可以更全面的監控物聯網裝置，更好判斷異常現象。針對mqtt協定，如果是xmpp，建議不要使用這種不支援tls的物聯網協定，協定本身就缺乏安全考慮。自有協定，建議是站在巨人的肩膀上做事情，因為你自己造的輪子可能有很多缺陷。其實也不建議用。如果出于成本的考慮，那在協定本身增加部分安全性限制。

2.物聯網裝置安全問題

2.1、iot裝置弱密碼問題

有條件的做一次一密，不允許把密碼固化到軟體或者物聯網裝置固件中。否則你的物聯網設計就是物聯網僵屍中的一員（mirai）。

2.2、iot作業系統安全問題

通用系統漏洞檢測，特别是那些可以提權的涉及到arm的cve-2015–569、cve-2015–570、cve-2015–571。

2.3、安全晶片到底能不能解決安全問題

個人覺得不是一個好的方向，intel收購mcafee就是一個例子，最終安全技術沒有整合到soc中，還是arm的天下。國際巨頭都這下場，初創公司不适合做這塊。

2.4、固件更新

有關固件更新的漏洞就更多了，更新沒有簽名檢查、版本降級限制、内容未加密、無法驗證來源等。

2.5、資料洩露

2013年，target使用者資料洩露事件，起因就是通過hvac供應商物聯網系統開始的。

3.雲管端安全

3.1、安全邊界設定混亂

由于app與iot技術結合，目前很多物聯網和現實當中的app網絡互通，導緻入侵的可能性。

3.2、api安全

傳統web安全漏洞同樣影響物聯網雲端web接口。

003、企業級iot安全解決方案

1.傳統安全防禦解決方案

針對傳統的連接配接網際網路的網絡以及傳統的雲端架構還是需要使用傳統邊界防護解決方案。

1）帶防火牆子產品硬體ips：可以限制app通路的端口，以及做通過簽名方式對傳統的sqli、xss等做檢測。

2）waf：web應用防火牆：主要是通過上下文語義關聯對owasp top 10攻擊類型做檢查和阻斷。

3）定期對後端web應用、資料庫伺服器、物聯網大資料分析平台等做作業系統、中間件、資料庫漏洞掃描。當然建議配合一下滲透測試服務。這樣會發現更多問題。

2.iot安全解決方案

調研了各個物聯網安全公司，大緻的解決方案如下：

2.1、agentless iot裝置資産管理

1）快速發現連接配接到您網絡iot裝置

2）已經連接配接的iot裝置可視化

3）配置檢測、基線檢測。

2.2、快速安全響應

1）快速監測到異常終端

2）隔離可疑應用程式和停止攻擊擴散到iot網絡

2.3、通過大資料分析iot事件，預測其安全狀态、給出預防建議。

2.4、iot裝置上安裝狀态防火牆、保證通訊協定安全。

004、安全解決方案實踐

了解物聯網安全廠商的思路後，其實我們可以總結一下，如果物聯網項目本身周期很短，那麼可以委托安全公司開發一套針對物聯網安全監管平台。傳統安全的老三樣，其實購買就好。但是針對iot裝置端的安全目前還沒一個很好的解決方案，國外的東西買來直接用風險太大。

那麼，确定了思路後，那麼iot端的安全核心問題在哪裡呢？其實不難看出，主要是針對物聯網協定的解析和反控。是以，這部分的解決方案必須支援mqtt、xmpp等物聯網協定。同時對iot裝置做到資産管理、mqtt協定審計和安全應急響應。

那麼部署方式如何？

為了不幹擾正常的物聯網業務操作，建議通過端口鏡像的方式部署裝置。

螢幕快照 2016-11-26 上午10.07.45.png

　　那麼，物聯網安全管理裝置有哪些功能呢？個人建議如下：

一、資産管理

1.列舉硬體裝置

（1）業務分組、硬體uuid、固件型号、gps、軟體資産

2.列舉網絡拓撲

（1）hub

（2）client

3.硬體軟體生命周期跟蹤

（1）軟體更新管理

（2）漏洞管理

4.風險評估（基線掃描）

（1）pki使用檢測

（2）tls證書檢測

（3）應用消息和控制資料包的完整性檢測

（4）裝置防篡改檢測

（5）用戶端證書檢測

二、mqtt協定審計

1.物聯網通路流量審計

（1）重複認證嘗試（暴力破解）

（2）嘗試發送或訂閱許多主題

（3）發送無法送達的郵件

（4）連接配接但不發送資料的用戶端

2.外部流量審計 -app、網際網路通路

三、安全應急響應

1.自動用戶端斷開機制

2.動态通路控制清單（例如ip位址或用戶端guid）

3.速率限制和/或阻塞（例如ip位址）

005、總結

本文抛磚引玉和大家聊聊物聯網安全，各大安全廠商也在布局物聯網安全，幾年前就聽說梆梆安全已經布局物聯網安全。但是不了解是否做有關協定安全相關的事情。有了解的話，大家互相讨論一下。

本文轉自d1net（轉載）