風(fēng)險(xiǎn)管理是一項(xiàng)永無(wú)止境的任務(wù)。安全工程師必須不斷評(píng)估威脅、漏洞和風(fēng)險(xiǎn)，以滿(mǎn)足合規(guī)要求并領(lǐng)先于攻擊者。分析師必須能夠分析幾乎每天的漏洞報(bào)告并計(jì)算它們對(duì)系統(tǒng)的影響。這可能導(dǎo)致過(guò)度工作和疲勞，因?yàn)槁┒磮?bào)告永遠(yuǎn)不會(huì)停止。自動(dòng)化對(duì)于幫助組織理解威脅情報(bào)數(shù)據(jù)、動(dòng)態(tài)更新策略和實(shí)現(xiàn)系統(tǒng)內(nèi)的持續(xù)合規(guī)性至關(guān)重要。機(jī)器可讀性是啟用自動(dòng)化威脅和風(fēng)險(xiǎn)分析流程所必需的。

本文研究了當(dāng)今可用的一些自動(dòng)化威脅和漏洞管理選項(xiàng)，并討論了如何調(diào)整這些方法以實(shí)現(xiàn)物聯(lián)網(wǎng)安全和維護(hù)近乎實(shí)時(shí)的合規(guī)性和風(fēng)險(xiǎn)狀態(tài)視圖的目標(biāo)。之前的一篇文章更廣泛地討論了對(duì)幫助開(kāi)發(fā)人員更有效地在物聯(lián)網(wǎng)產(chǎn)品中構(gòu)建安全性的工具的需求。

為了實(shí)現(xiàn)物聯(lián)網(wǎng)部署的自動(dòng)化風(fēng)險(xiǎn)管理，分析系統(tǒng)從眾多不同來(lái)源獲取數(shù)據(jù)并自動(dòng)分析該數(shù)據(jù)以清晰地描繪最新風(fēng)險(xiǎn)。理想情況下，數(shù)據(jù)源包括物聯(lián)網(wǎng)產(chǎn)品本身，這些產(chǎn)品應(yīng)設(shè)計(jì)為報(bào)告設(shè)備軟件和硬件組成以及第三方或開(kāi)源組件。安全運(yùn)營(yíng)團(tuán)隊(duì)運(yùn)行的固件分析工具掃描最新部署的固件并報(bào)告弱點(diǎn)。威脅情報(bào)源為威脅提供上下文，包括攻擊者配置文件和能力。所有這些數(shù)據(jù)都應(yīng)該以機(jī)器可讀的格式提供，以便可以將其提供給經(jīng)過(guò)訓(xùn)練的機(jī)器學(xué)習(xí)算法，以計(jì)算每個(gè)設(shè)備的風(fēng)險(xiǎn)概況。維護(hù)每種設(shè)備的持續(xù)更新的風(fēng)險(xiǎn)概況為分析安全權(quán)衡決策提供了堅(jiān)實(shí)的基礎(chǔ)。圖 1 顯示了用于自動(dòng)和持續(xù)威脅和風(fēng)險(xiǎn)分析的框架。

圖 1：數(shù)據(jù)收集為自動(dòng)化風(fēng)險(xiǎn)分析提供依據(jù)（來(lái)源：VDOO）

可以自動(dòng)化的首批領(lǐng)域之一是威脅情報(bào)共享。威脅情報(bào)提供有關(guān)最新攻擊者配置文件和與危害指標(biāo) ( IoC ) 相關(guān)的上下文的持續(xù)數(shù)據(jù)。今天，有許多可用的自動(dòng)化威脅情報(bào)共享工具。結(jié)構(gòu)化威脅信息表達(dá)(STIX) 就是一個(gè)例子。STIX 由 MITRE 和 OASIS 創(chuàng)建，允許共享威脅信息，包括動(dòng)機(jī)、能力和建議的響應(yīng)。STIX 還提供與受損指標(biāo)相關(guān)的數(shù)據(jù)以及在受損時(shí)采取的適當(dāng)響應(yīng)/行動(dòng)方案。STIX 2.0 可從 OASIS 獲得，旨在作為獨(dú)立的共享標(biāo)準(zhǔn)或與可信的自動(dòng)情報(bào)信息交換 (TAXII) 規(guī)范一起工作。

TAXII也由 OASIS 定義。TAXII 是一個(gè)基于 REST 的 API，通過(guò) HTTPS 運(yùn)行。該規(guī)范定義了如何共享標(biāo)準(zhǔn)化的威脅情報(bào)信息。可以使用基本的發(fā)布/訂閱模型配置通道，允許生產(chǎn)者與消費(fèi)者共享威脅情報(bào)數(shù)據(jù)。在物聯(lián)網(wǎng)模型中，支持設(shè)備產(chǎn)品的云安全服務(wù)將充當(dāng)威脅情報(bào)數(shù)據(jù)的消費(fèi)者，使服務(wù)能夠自主評(píng)估與設(shè)備相關(guān)的最新威脅環(huán)境。定義了三個(gè)服務(wù)：

發(fā)現(xiàn)服務(wù)允許對(duì)等方/訂戶(hù)了解支持的服務(wù)。

集合管理服務(wù)允許訂閱數(shù)據(jù)集合。

收件箱服務(wù)允許節(jié)點(diǎn)接收內(nèi)容，而輪詢(xún)服務(wù)指定如何請(qǐng)求內(nèi)容。

TAXII 中定義了三種共享模型：Hub and Spoke、Source/Subscriber 和 Peer to Peer。

STIX 和 TAXII 都是機(jī)器可讀的。將此類(lèi)服務(wù)設(shè)計(jì)為機(jī)器可讀是啟用自動(dòng)分析和響應(yīng)最新威脅的先決條件。這些威脅情報(bào)源提供了有用的信息，但必須在與物聯(lián)網(wǎng)產(chǎn)品相關(guān)的獨(dú)特漏洞的背景下進(jìn)行分析——為此，需要額外的數(shù)據(jù)源。例如，必須提供最新的安全咨詢(xún)數(shù)據(jù)。機(jī)器可讀的漏洞源允許物聯(lián)網(wǎng)安全服務(wù)在上下文中分析威脅，為其產(chǎn)品提出真正基于風(fēng)險(xiǎn)的評(píng)分模型。例如，Cisco 定義了OpenVuln API以實(shí)現(xiàn)其思科特定安全建議的自動(dòng)化。安全內(nèi)容自動(dòng)化協(xié)議 (SCAP) 為機(jī)器提供與供應(yīng)商無(wú)關(guān)的能力來(lái)使用 CVE 數(shù)據(jù)。SCAP 已經(jīng)存在十多年了，它提供了已知安全漏洞、軟件配置問(wèn)題和相關(guān)產(chǎn)品名稱(chēng)的列表。

產(chǎn)品漏洞信息必須延伸到產(chǎn)品中使用的組件。開(kāi)源軟件 (OSS) 和第三方庫(kù)在物聯(lián)網(wǎng)產(chǎn)品中發(fā)揮著至關(guān)重要的作用?？蛻?hù)組織必須能夠在部署的物聯(lián)網(wǎng)產(chǎn)品中識(shí)別這些庫(kù)，以準(zhǔn)確計(jì)算風(fēng)險(xiǎn)。為了解決這個(gè)問(wèn)題，美國(guó)國(guó)家電信行業(yè)協(xié)會(huì) (NTIA) 正在開(kāi)展軟件組件透明度計(jì)劃，該計(jì)劃將產(chǎn)生機(jī)器可讀的軟件材料清單 (SBOM)。

SBOM 將使客戶(hù)組織能夠查詢(xún)產(chǎn)品中使用的庫(kù)和組件，并在自動(dòng)分析程序中使用數(shù)據(jù)。這支持輕松識(shí)別必須修補(bǔ)的易受攻擊的組件，并允許開(kāi)發(fā) API 在產(chǎn)品生命周期內(nèi)跟蹤這些組件的狀態(tài)。然而，物聯(lián)網(wǎng)產(chǎn)品供應(yīng)商需要時(shí)間來(lái)開(kāi)始整合這一新功能。

在此期間，安全運(yùn)營(yíng)團(tuán)隊(duì)可以使用VDOO Vision ? 等工具來(lái)掃描連接到網(wǎng)絡(luò)的物聯(lián)網(wǎng)產(chǎn)品，報(bào)告漏洞并清點(diǎn)其物聯(lián)網(wǎng)設(shè)備中存在的所有第三方庫(kù)。此信息用于更準(zhǔn)確地計(jì)算風(fēng)險(xiǎn)并確定必須快速部署哪些特定庫(kù)補(bǔ)丁。VDOO 的嵌入式運(yùn)行時(shí)代理 ( ERA? ) 等工具) 甚至可以在物聯(lián)網(wǎng)產(chǎn)品上快速編譯，以比開(kāi)發(fā)人員修補(bǔ)所需要的速度更快地緩解已識(shí)別的固件風(fēng)險(xiǎn)，從而為安全運(yùn)營(yíng)團(tuán)隊(duì)提供了一種平衡的緩解方法。ERA 支持 Linux 和 Android，并在 MIPS、ARM 和 X86_64 架構(gòu)上運(yùn)行。它旨在最大限度地減少對(duì)設(shè)備要求的影響，例如代碼大小、延遲。例如，ERA 僅引入了 1MB 的存儲(chǔ)開(kāi)銷(xiāo)和不到典型 IoT CPU 開(kāi)銷(xiāo)的 1%。安全工程師會(huì)根據(jù) VDOO Vision 掃描結(jié)果了解量身定制的 ERA 保護(hù)措施。

安全運(yùn)營(yíng)團(tuán)隊(duì)?wèi)?yīng)開(kāi)始為其物聯(lián)網(wǎng)部署設(shè)計(jì)自動(dòng)化風(fēng)險(xiǎn)管理流程。例如，在國(guó)防部 (DoD) 中，網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者已開(kāi)始在其持續(xù)合規(guī)計(jì)劃的成功基礎(chǔ)上，開(kāi)始啟用更全面的自動(dòng)化風(fēng)險(xiǎn)管理計(jì)劃。安全團(tuán)隊(duì)可以通過(guò)評(píng)估多個(gè)數(shù)據(jù)饋送來(lái)自動(dòng)量化風(fēng)險(xiǎn)，從而更好地了解漏洞的上下文，而不是簡(jiǎn)單地計(jì)算證明部署遵守一組政策或法規(guī)的合規(guī)性記分卡。這需要全面了解系統(tǒng)中當(dāng)前的漏洞以及威脅的影響和可能性。

所有這些自動(dòng)數(shù)據(jù)饋送都可以讓產(chǎn)品安全工程師開(kāi)始考慮對(duì)最新風(fēng)險(xiǎn)的自動(dòng)響應(yīng)。我們可以查看云防火墻行業(yè)的威脅信息自動(dòng)響應(yīng)示例。今天的云防火墻集成了 API，這些 API 可以根據(jù)最新的威脅情報(bào)（例如已知的惡意 IP 地址或 DNS 記錄）自動(dòng)修改規(guī)則。

物聯(lián)網(wǎng)產(chǎn)品應(yīng)該開(kāi)始在設(shè)備和云服務(wù)級(jí)別整合基本的安全自動(dòng)化功能，允許在發(fā)現(xiàn)新威脅或威脅的可能性或影響增加時(shí)更新策略和規(guī)則集。NIST 的國(guó)家網(wǎng)絡(luò)安全卓越中心 (NCCOE) 等組織也在定義新的方法，例如制造商使用描述MUD，允許在云中生成和存儲(chǔ)設(shè)備配置文件。這些配置文件向生態(tài)系統(tǒng)發(fā)出設(shè)備的有效通信配置文件的信號(hào)。使用這種方法，物聯(lián)網(wǎng)設(shè)備配置文件可以為物聯(lián)網(wǎng)部署的自動(dòng)化風(fēng)險(xiǎn)分析提供額外的輸入。

隨著行業(yè)在啟用自動(dòng)化風(fēng)險(xiǎn)管理技術(shù)方面不斷取得進(jìn)展，物聯(lián)網(wǎng)產(chǎn)品供應(yīng)商應(yīng)采用這些功能來(lái)支持其客戶(hù)快速評(píng)估風(fēng)險(xiǎn)和自動(dòng)部署緩解措施的能力。

審核編輯 黃昊宇