工業(yè)物聯(lián)網(wǎng)（IIoT）的網(wǎng)絡(luò)安全防御

來源：UbuntuCN

對工業(yè)物聯(lián)網(wǎng)解決方案的網(wǎng)絡(luò)安全攻擊可能會帶來有害結(jié)果，這是因為IoT設(shè)備記錄了隱私敏感的數(shù)據(jù)并且控制生產(chǎn)資產(chǎn)。因此，可證明的受信度是在工業(yè)環(huán)境中采用IoT物聯(lián)網(wǎng)的先決條件。

幸運的是，IT安全是一個成熟的領(lǐng)域。專家已識別了設(shè)備可能受到的威脅類別。讓我們在工業(yè)物聯(lián)網(wǎng)(IIoT)環(huán)境中討論這些威脅模式和緩解策略。

威脅建模：問題出在哪里?

網(wǎng)絡(luò)安全從業(yè)人員經(jīng)常使用威脅模型來映射可能危害系統(tǒng)的攻擊。STRIDE模型是由微軟開發(fā)且被廣泛使用的威脅模型。下圖是對IoT設(shè)備的威脅例子：

網(wǎng)絡(luò)安全威脅的 STRIDE model 模型

下面是降低這些威脅的關(guān)鍵操作系統(tǒng)功能特性。

安全啟動與軟件驗證

IoT設(shè)備在啟動時最容易被攻擊。使用惡意軟件組件啟動操作系統(tǒng)可能會導致設(shè)備完全損壞。這類的“缺口”會使得設(shè)備面臨其他安全威脅。

安全啟動過程的簡化圖示

安全啟動會驗證軟件的真實性，并且來源于可信賴的源頭。這個驗證操作阻止啟動過程被篡改。因此，只有在其數(shù)字簽名已由先前的組件驗證的情況下，組件才會執(zhí)行。

固件使用存儲在設(shè)備上受信區(qū)的公匙來驗證bootloader。然后，bootloader驗證內(nèi)核，內(nèi)核解密根文件系統(tǒng)。這個過程構(gòu)成了信任的軟件鏈。

全盤加密保護數(shù)據(jù)

IoT設(shè)備存儲了安裝在對隱私敏感的環(huán)境中的傳感器的數(shù)據(jù)。如果威脅實施者可以訪問機密信息，商業(yè)秘密或知識產(chǎn)權(quán)，則他們可以提取這些信息。而信息泄露則會導致其他的漏洞。

那么如何保護磁盤上的數(shù)據(jù)不被未經(jīng)授權(quán)的訪問呢?答案是全盤加密或者分區(qū)密匙加密。為此，操作系統(tǒng)用一個單一的密匙來加密和解密數(shù)據(jù)。這個密匙被存放在隔離的磁盤分區(qū)上。

物聯(lián)網(wǎng)設(shè)備磁盤上的加密方案示例

知道該密鑰的存儲位置就足以解鎖磁盤嗎?當然不是，因為密匙本身是被加密的。因此，必須使用主密鑰對其進行解密。主密鑰通常保存在芯片或其他特定的外置設(shè)備(如TPM或者安全元素)。

用數(shù)字簽名來鎖定設(shè)備

限制物聯(lián)網(wǎng)設(shè)備的行為可減少攻擊面。鎖定可能在正常運行時間導致任何STRIDE攻擊模式的動作是一種有效的防御策略。高度安全的操作系統(tǒng)可以協(xié)調(diào)數(shù)字簽名以鎖定此類操作。

安全的Ubuntu Core設(shè)備的啟動過程

操作系統(tǒng)可以使用數(shù)字簽名控制的行為是：身份驗證，通信和應(yīng)用執(zhí)行。身份驗證設(shè)備控制訪問權(quán)限。限制設(shè)備接受欺詐地址的流量和阻止DDoS攻擊。鎖定設(shè)備上允許的軟件物料清單可防止篡改應(yīng)用程序。

彈性端點安全組合

強大的終端安全性對于IIoT的深度防御策略至關(guān)重要。然而，大部分Linux發(fā)行版沒有提供如安全啟動、全盤加密或者開箱即用的數(shù)字簽名的能力。這將為開發(fā)者構(gòu)建可信賴的IIoT設(shè)備增加額外的成本。