管理物联网的风险

物联网(Internet of Things，简称IoT)，或该术语的变体，已经让媒体充斥着联网汽车、联网可穿戴设备、家庭自动化和智能电表的故事。有了如此重要的对话，有人会认为这个市场是昨天才发明的，但事实上，通过通信网络与物理世界交互的机器对机器通信已经存在很长时间了。被称为工业控制系统的不那么华丽的设备已经运行我们的电网、石油管道和制造工厂几十年了。云计算部分源自上世纪六七十年代的主机分时概念，物联网也像云计算一样被重新命名。

但是，尽管大肆宣传，联网设备的市场正在发生变化。与云技术一样，物联网的规模比前几代要大得多，并且正在快速增长。它之所以重要，也有点可怕，是因为它无处不在，触及了消费者和企业。此外，用例继续从琐碎或狭隘的应用扩展到医疗保健和运输领域的基础广泛和生命攸关的解决方案。

物联网定义

要了解物联网的风险，需要定义。显然，物联网是一个不确定的术语，它的名字更多地归功于媒体炒作，而不是多年的标准制定过程。因此，它具有“当你看到它时就知道”的品质。在最基本的层面上，物联网意味着网络连接、嵌入式(或有限计算)设备的使用，并且通常涉及与物理世界的某种连接，例如测量温度、血压或道路振动。从本质上讲，它意味着传统上不被认为是计算机的日常设备的网络连接;然而，几乎每一次物联网的使用都涉及到一些传统的计算机使用。例如，这些小型嵌入式设备通常报告它们的状态并接收来自传统计算机工作站、服务器、笔记本电脑或智能手机的指令。典型的物联网架构可能类似于图1所示。

最好将物联网视为一系列小型设备，而不是一个需要多个组件才能正常工作的生态系统。支持组件虽然看起来是正常的计算设备，但仍然需要根据与物联网相关的大量数据的实时性进行调整。计算机网络需要无处不在，并根据数据流的数量和速度进行优化。并且需要为很大程度上自治的网络设计适当的业务逻辑。

但从根本上说，物联网是关于与物理世界交互的核心组件。它们通常包括测量温度、风速或物体存在等的传感器。它们通常包括启动诸如开车、关闭电源或注射胰岛素等动作的执行器。支持功能通常是决定操作的地方，但对于一些很大程度上自主的设备，其中一些决策可以根据设备接收到的输入独立做出。

虽然物联网仍然是一个相对较新的概念，但核心组件已经在工业网络中存在了几十年，它们预示着可能面临的一些风险。工业网络经常成为网络攻击的对象。与传统的信息技术组件不同，它们通常更容易受到攻击，因为许多工业网络从未被设计成连接到与敌对互联网相连的网络。相反，那些封闭的网络认为物理攻击是需要防范的威胁。

除了互联挑战之外，核心工业设备，如可编程逻辑控制器(plc)，具有基本的通信协议，如果接收到任何意外数据，可能会崩溃。此外，plc本质上被设计用来处理来自发送者的命令，有时很少或根本没有身份验证。这意味着，如果工业网络没有得到充分隔离或适当防御，妥协更有可能带来真正的物理后果。

物联网威胁真实存在

威胁已经通过物联网执行。

• 近20年前，一名心怀不满的前雇员利用网络接入远程排放污水。
• 2007年，研究人员证明，发电机可以通过远程快速打开和关闭断路器而被摧毁。
• 2014年，黑客入侵了一家德国钢铁厂的工业网络，阻止了一座高炉的关闭。
• 就更现代的物联网设备而言，一名研究人员入侵了他的胰岛素泵，其他人成功入侵了智能电表，在《60分钟》节目中，美国国防部高级研究计划局(DARPA)的科学家远程控制了汽车刹车。

这些例子表明，如何保护数十亿以上的物联网设备，将它们部署在各种各样的网络上，并将其中一些设备直接连接到互联网，将继续构成巨大的挑战。

即使有更好的网络堆栈和更严格的网络安全控制，许多这些设备的性质意味着存在于典型工作站、笔记本电脑、服务器甚至智能手机上的强大控制不太可能在设备的设计中实现。需要以不同的方式评估和实现控制。此外，这些设备在应用程序、位置和架构方面具有令人难以置信的多样性。有些依靠集中控制，而另一些则拥有自己的智能，通常是自主运行的。

根据定义，它们与其他联网组件相连，这意味着它们面临被攻破的风险，有可能传播感染，并成为黑客攻击生态系统其他部分的平台。这就是为什么物联网带来的风险是巨大的，因为通常情况下，在这些网络所处的网络中，存在一定程度的信任。正是网络及其可扩展性为物联网提供了最大的希望和最大的风险。

此外，重要的往往是数据。虽然黑客攻击汽车使其偏离道路或操纵心脏起搏器诱发心脏病的想法可能会成为头条新闻和好莱坞电影的情节，但现实情况是，物联网世界的大部分存在只是为了观察和报道。他们的工作是生成和转发数据。在未来，社会的大部分将依靠这些被动传感器来决定何时何地种植粮食，去哪里旅行，以及成千上万的其他类似决定。这些数据的准确性，或者更准确地说，汇总数据的相对准确性，将被证明是我们如何进行私人和公共生活的关键因素。这些数据将作为构建和操作其他一切的基础。很少有人会停下来思考基础数据是否正确。

通过操纵数据，黑客可以威胁空气、水、食物供应和人身安全。例如，当几乎所有车辆都将自动驾驶，严重依赖传感器数据来正确操作时，正确的数据将使我们免于在车祸中丧生。因此，必须保护向物联网设备发出的命令以及从这些设备接收到的数据的完整性。

了解有关降低物联网风险的步骤以及如何优先考虑系统潜在漏洞的更多信息。

应对物联网风险的方法

因此，考虑到各种各样的设备及其对未来世界的影响，降低风险的最佳方法是什么?传统的风险管理可能指向许多方向。随着新设备的激增和相关威胁的持续加速，试图了解未来威胁的种类并设计控制措施来解决这些威胁可能会让人不知所措。此外，传统策略取决于设备的使用方式。

另一种方法是将重点放在影响上，并优先考虑那些后果最严重的问题。这是许多政府部门使用的一种常用方法，这些方法的重点是影响，而不是特定设备对给定威胁的脆弱性。虽然影响很重要，但更重要的是首先要了解物联网设备的确切用途。从用例分析开始还可以演示预期的业务目的是什么。如果设备后来被用于其他用途，风险团队可以指向原始分析，以提醒管理层需要进行新的风险分析。

构建风险模型

要评估物联网风险，首先要定义用例。设备和配套基础设施将如何使用?虽然技术描述是有用的，但重点应该放在相关的业务流程和预期的结果上。这究竟将如何产生运营、商业或个人价值?考虑到几乎所有的项目都必须以类似的理由获得批准，这些信息应该不难找到。

与寻求一般目标但不涉及如何实现的广泛预算不同，这些用例应该非常具体，并且应该包括细节。所涉及的数据类型应包括人类是否会在物理意义上直接与这些设备(如健康监测设备、自动驾驶汽车或控制系统计算机库)进行交互，设备是否会与现有技术进行交互，以及对应该已经到位的基础设施所做的任何假设。应该注意所有的业务目标，因为风险分析的任务之一是确定由于黑客攻击或其他设备故障而无法实现这些目标的后果。

为每个变体创建一个用例也很重要。例如，连接一个仅仅测量和报告能源使用情况的智能电表与连接一个支持远程断电的智能电表有着非常不同的含义。细节很重要。决定用例的详细程度通常是一种判断。

一旦用例解决了，公司就可以安全地分析潜在的影响。如前所述，最简单的起点是查看用例的业务目标，并询问如果这些目标在网络安全攻击中被拒绝会发生什么。

如果我们谈论的是起搏器或飞机，后果可能是人命损失。在大多数情况下，设备会简单地停止提供数据。从不同的角度理解其后果是很重要的。例如，一个停止工作的设备可能会向所有者发出信号，表明出了问题，维修或更换可能会迅速发生。然而，如果黑客设法导致设备发送错误的数据，关键的业务功能可能会受到影响，随着时间的推移，可能会导致更严重的后果。在任何一种情况下，开始考虑网络攻击可能导致的最坏的、但似乎合理的影响，包括下游影响，如客户收入损失，都是有帮助的。

更重要的是，考虑经济学家所说的“外部性”也至关重要。例如，除非一家公司被起诉，否则丢失的客户数据不会真正直接伤害它，尽管可能会发生间接的声誉损害。社会和生活质量问题更加模糊，但相关。例如，道路传感器无法准确报告交通状况可能会导致更多的交通堵塞。污染通常是外部性的典型例子，它以通常无法察觉的方式侵蚀空气质量，只有当数千甚至数百万个污染源聚集在一起时才能感受到。物联网也可能出现同样的效果，因为自动化和摩尔定律共同创造了意想不到的结果。虽然在开展物联网项目时，更广泛的社会危害很难量化，但至少应该注意到这个问题，以便在问题发展时更容易识别。

优先考虑漏洞

一旦了解了影响，潜在的漏洞就更容易识别和确定优先级。漏洞的识别通常从检查所有接口和潜在的攻击面开始，包括逻辑和物理的。由于数量通常相当大，因此可能有必要关注可能且具有足够影响力的威胁。例如，一个国家不太可能对收集某人的电力使用信息感兴趣，除非它是一个关键军事基地的电力使用情况。本质上，漏洞在某种程度上需要通过当前的威胁环境来了解。

值得注意的是，无论威胁如何，都应该始终实施某些基本的网络安全措施，因为设备总是可以被重新利用，即使是无聊的青少年也可以免费利用网上现成的大量黑客工具和技术。因此，总是建议查找缓冲区溢出，分配适当的用户角色，实现可接受的用户身份验证，并在可行的情况下对发现的软件缺陷应用补丁。

最后，这项工作超越了标准的风险分析，认识到物联网不会停滞不前。就其本质而言，它会生长和变异以满足需求。像道路传感器和智能电表这样的技术并不是为了经常更换而设计的，因此软件更新和网络变化将需要使用已安装的硬件。这也意味着诸如可升级性和可扩展性之类的考虑，虽然主要不是网络安全方面的考虑，但成为物联网的更大问题。因此，应该确定未来的使用和误用情况。

同样，扩展设备网络的后果，以及这可能导致对核心安装的过度依赖，都需要考虑。例如，处理一些自动驾驶汽车的安全问题，一个人偶尔进行人工监督可能是可控的。然而，一旦几辆车增长到几千辆，仅仅雇佣更多的人是行不通的，因为数据量和攻击面呈指数级增长。在这种情况下，实现更大程度规模和自动化的唯一网络安全解决方案是使用由人监督的网络安全自动化。对其他利益相关者的伤害，或外部性，也需要成为等式的一部分。结果是一个给定的物联网设备或一组设备带来的外推风险，如图2所示。

减轻风险

当然，识别风险只是等式的一部分，而且往往是一项微不足道的工作。物联网现象催生了一个家庭手工业，指出了设备被黑客攻击的所有方式。虽然这些攻击的潜在后果并不总是被充分认识到，但很明显，充分解决这些漏洞将是一项艰巨的工作。

在这一点上，许多漏洞不值得修复。破解可穿戴健身手环或许是可能的，但后果可能微不足道。如果该设备是由名人佩戴的，用于人身伤害，或者用于在该人心率过高时通知医生，则可能需要改变风险和补救的理由。

也许最重要的考虑因素是，设备被识别为特定目的，如果该目的改变，风险分析和潜在的补偿控制也将为制造商和最终用户改变。例如，一架联网无人机可能只适合在无人居住的地区进行农业和石油钻探观测。执行这些参数可能是一个挑战，即使制造商不承担未指定用途的责任。供应商有充分的动力去寻找产品的新用途。此外，当一个设备被指定用于特定目的时，制造商实际上可能会承担更多的责任，因为它造成的任何故障或伤害都可以被视为可预见的，这是确定疏忽的一个重要考虑因素。至少，应该强调一些假设，并注意任何限制。

此外，针对在涉及人身安全、重大财产损失或电力、水或应急服务等关键社会服务领域使用的数字设备，正在制定两项措施。在所谓的关键基础设施领域，标准更高。物联网也不例外。在这些领域，可能需要额外的监督和使用强制性网络安全控制。

在某些情况下，对设备的更改可能需要政府或行业监管机构的批准。由于消费者将越来越多地使用传统上为专业人士保留的设备(如车对车通信或向电网添加能源资源)，因此设备所有者不能自由修补可能是可取的。其他举措包括通过特定用例的认证流程对设备进行某种形式的审查，包括安全性、大量个人信息或关键基础设施。

对于购买这些设备的个人或企业，缓解和正确使用始于定义良好的用例开发过程。对于企业来说，这应该意味着政策明确允许或排除设备在特定环境或特定目的下的使用。在涉及个人身份信息的情况下，应制定明确的数据收集和保留政策。在相关的情况下，应该为每个设备以及所涉及的更大的系统分配特定的人员。公司尤其需要审查医疗器械损坏的保险范围，以及如果医疗器械被滥用可能造成的伤害。在可能和相关的情况下，应该实施某种持续的安全监控。

最后，设备所有者需要明白，一次安全审查是不够的。随着设备使用的扩大，随着与这些设备通信的任何后端基础设施发生重大变化，以及随着新类型的数据被收集，他们需要安排正在进行的审查。然后，风险管理模型需要随着范围的每次变化而进行修订。

降低物联网风险的六个步骤

对于目前参与物联网的人来说，几乎每个人都应该采取六项基本行动，而不管所涉及的风险或在该计划上花费的金额。

1. 从现在开始，物联网所有者应该确定当前正在实施、计划或预期的物联网实施。这可能包括用于供暖和空调的建筑管理系统，甚至是用于运行电梯的机制，如果它们是联网的。
2. 接下来，组织应该确定与物联网相关的任何安全策略或程序。如果没有，公司至少应该记录一些高层控制措施，比如锁住电梯机房。
3. 在三个月内，组织应确保设备所有者已应用上述风险模型，并与管理层一起审查结果。
4. 组织还应确定缓解步骤和相关成本，以实现所需状态。
5. 在接下来的六个月里，组织应该识别他们无法控制但会影响其组织的物联网风险。
6. 组织还应该参与行业组织，以鼓励为影响他们的设备制定安全标准。

Gib Sorebo是Leidos Engineering的首席网络安全技术专家。埃里克·r·艾斯勒主编，石油与天然气工程，eeissler@cfemedia.com．

关键概念

• 对物联网的基本了解和实施一些基本步骤可以使任何组织走上管理物联网风险的正确轨道。
• 物联网与其说是一系列小型设备，不如说是一个生态系统。
• 与传统的信息技术组件不同，物联网连接的设备通常更容易受到攻击。

考虑一下这个

随着物联网在未来几乎普及到所有物体，我们如何保护自己免受黑客入侵的设备，甚至是我们的家庭?问题是，为了我们的安全，是否应该存在没有连接的物体?

在线额外

-请参阅下面链接的有关物联网和工业物联网的相关故事。

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。