Jaikumar Vijayan 陈琳华

在商业和运营环境中的物联网系统受攻击面正变得越来越多，并且给许多企业的关键数据和系统的机密性、完整性和可用性带来了新的风险。

安全领导者需要更新其组织的威胁概况以解决这些风险，以及实施正式的计划以主动管理这些风险。分析师认为，否则它们有可能成为不法分子的软目标，这些不法分子一直在寻求利用脆弱的物联网环境进行间谍活动、窃取数据、发起分布式拒绝服务（DDoS）攻击、提升特权，或是以其他方式破坏组织的运营。

Booz Allen Hamilton的首席工程师兼高级合伙人Kyle Miller说：“物联网设备存在独特的风险，因为组织通常在其IT和OT（运营技术）网络上部署有数百个这样的设备，每个设备都会扩大攻击面并增加组织风险。”

近年来，互联网联接的设备在传统的IT和运营环境中不断激增。那些希望将自身重塑为互联型企业的组织已经在工厂车间、设备、现场和其他地方部署了IoT传感器和设备，从而导致出现了数据洪水。

在企业内部，从设施管理、安全监控系统到打印机和照明系统的所有东西都已联接到互联网上。分析人士预计，在未来几年中，企业将部署数十亿个IoT设备来支持各种用例。这将迫使组织在开发其威胁模型时重新考虑以下因素。

有哪些物联网扩散控制措施？

埃森哲全球网络安全业务部北美网络防御负责人Robert Boyce表示，组织内部的许多物联网使用都是递增式的，几乎没有什么战略性，也基本上没有IT或安全监督。他说：“许多组织虽然正在部署物联网设备，但是没有经过正规的治理流程。”因此，几乎没有人能够清楚地了解其物联网资产的总体情况和相关风险。从威胁的角度来看，规模较小的物联网部署常常会被完全忽略。

例如，企业中使用的许多设备（包括IP摄像头、数字助理和其他智能设备）都是直接联接到互联网上的。Boyce说：“许多这样的设备都会自动联接生產商以进行升级。”

Denim Group首席技术官Dan Cornell指出，当员工和管理人员利用语音激活的虚拟助手等技术进行集体或个体交互时，数据保密性和隐私性也成为了重要问题。

Cornell说，在会议室或主管办公室中进行的对话可能涉及特权和受保护的信息，而这些信息会被发送到设备制造商的云端上。诸如机密数据是存储在本地还是云端，数据在哪里传输，以及数据的可追溯性之类的考虑对于理解和缓解威胁至关重要。

通过物联网系统安全地发送数据是另一个挑战，因为很大一部分流量未经加密。Cornell说，在没有正式威胁建模的情况下，企业也可能低估了关于设备识别、认证、预配和维护的风险。

与IT网络相比，此类问题在运营技术和工业环境中的后果要严重得多。对物联网弱点的攻击和由环境漏洞导致的安全漏洞可能会造成物理损坏和与安全相关的后果。

如今，企业正在将智能设备联接到新旧工业控制系统（ICS）和其他运营技术当中。曾经与外界进行安全隔离的关键OT系统和网络现在都可以通过互联网进行，因此更容易受到攻击。在OT系统很少扩展到运营环境之外的地方，只有业务用户、供应商、厂商和其他人员可以访问它们。

第三方制造商也增加了风险，因为他们会将新的访问功能放入关键的工业控制系统中，然后将其锁定，以使其他厂商无法对其进行更新。埃森哲的Boyce 说，这使得许多组织处于一种第三方可以直接且永久连接其运营环境的局面。

用户对自己的物联网网络有多大的可见性？

Cornell说，可见性是理解和建模物联网环境中威胁的关键。为了降低物联网风险，用户需要了解自己的资产并有计划地、系统性地确定与它们相关的威胁。他说，这涉及找出特定物联网资产可能成为安全责任的所有方式，然后采取措施减轻这种情况出现的可能性。这些措施包括删除或禁用危险功能、部署操作控件或以不同方式部署技术。

德勤风险与财务询问部门的网络负责人Mark Nicholson说，在建立威胁模型时，不要孤立地看待IoT设备，尤其是在工业和OT环境中。在评估与物联网相关的威胁时，组织需要考虑这些设备可能存在于一个广泛的生态系统当中。这意味着要查看设备之间，以及与其他设备、服务器和主机之间的连接方式。他说：“如果只关注设备的安全性，而不了解设备如何与其他环境和数据进行交互，那么用户可能会遗漏一些情况。”

要想获得威胁建模所需的可见性可能很困难，因为物联网设备种类繁多，缺乏标准架构，并且相同类型设备之间安全功能的可用性也不一致。这可能会给威胁建模带来挑战。Booz Allen Hamilton的Miller说：“物联网设备和系统具有多种风格，并且并非所有设计或构建都具有相同的网络安全强度。”许多物联网设备运行在经过简化的实时或是旧版的操作系统和软件框架之上，这些操作系统和软件框架不支持与传统IT系统相同级别的安全保护。由于这些原因，在企业环境中实现IoT系统的可见性变得更具挑战性。

Miller说：“大多数组织应该采取的第一步是准确了解其网络中已经部署了哪些IoT设备。这经常是我们客户的最大盲点之一，因为这涉及资产清单。”

与此同时，Miller认为，组织可以使用多种主动式和被动式网络以及无线发现工具帮助发现物联网资产。一旦了解了物联网资产，组织便可以开始实施安全控制，例如网络隔离和威胁监视，以帮助保护它们。

用户如何在采购过程中审查设备安全性？

Denim Group的Cornell说，对于未来的部署，最好的起点是从采购开始。采购IoT设备的企业可以很好地确保供应商在其设备中实施了必要的安全功能。他说，购买过程是进行威胁建模和评估，以识别规划的IoT部署中潜在风险和漏洞的好时机。“在完成采购过程之前，用户对供应商的行为有非常大的影响力。”

如果用户打算使用的IoT设备是以消费者为中心，那么供应商不太可能拥有销售渠道来销售或支持企业的安全要求。对此，Cornell指出，组织在购买设备时应格外小心。

为了充分了解风险并在合同中建立防范措施，物联网采购需要与安全组织展开合作。德勤的Nicholson称，这需要获得有关IoT环境中所有组件的全面材料清单和审核权。组织需要了解组件的来源，以及可能使用的所有物联网软件的来源。

如果由第三方来管理用户的IoT设备（尤其是在工业和OT网络中），那么合同中需要讨论供应商或承包商对所有安全事件的责任。 Boyce补充道：“我还建议对物理设备本身进行安全审查，以确保其符合安全要求。”

IT和OT对于物联网安全性的沟通情况如何？

安全分析师指出，降低物联网风险的最关键步骤是让IT安全组织参与进来。通常，那些正在增加IoT覆盖范围的组织，尤其是在工业方面，几乎没有意识到潜在的安全隐患。

Boyce 说，一些组织已经开始在其ICS环境中构建安全功能，但是在许多情况下，OT和IT方面几乎很少相互沟通。尽管存在巨大的安全隐患，但是两个团队之间却很少进行协调。OT团队经常防范着IT安全团队在不完全了解潜在影响的情况下就在环境中引入控制措施。

他说：“用户再也不能分别独立地运营这些团队了。他们之间必须要经常性地进行交叉培训。”

本文作者Jaikumar Vijayan为一名专注于技术的自由撰稿人，专门研究关于计算机安全和隐私的课题。

原文网址

https：//www.csoonline.com/article/3538416/how-iot-changes-your-threat-model-4-key-considerations.html