電子發(fā)燒友網(wǎng)>電子資料下載>電子資料>IIoT 的高效安全配置

IIoT 的高效安全配置

2076710 2022-11-28 | pdf | 204.47KB | 次下載 | 免費(fèi)

資料介紹

2016 年秋季，黑客招募了數(shù)十萬(wàn)臺(tái)嵌入式設(shè)備來(lái)組成惡意僵尸網(wǎng)絡(luò)。他們的 Mirai 惡意軟件感染了寬帶路由器，讓僵尸網(wǎng)絡(luò)的運(yùn)營(yíng)商利用它們進(jìn)行分布式拒絕服務(wù) (DDoS) 攻擊。這為新興的物聯(lián)網(wǎng) (IoT) 行業(yè)敲響了警鐘——展示了黑客如何利用聯(lián)網(wǎng)的智能設(shè)備達(dá)到自己的目的。2016 年秋季，黑客招募了數(shù)十萬(wàn)臺(tái)嵌入式設(shè)備來(lái)組成惡意僵尸網(wǎng)絡(luò)。他們的 Mirai 惡意軟件感染了寬帶路由器，讓僵尸網(wǎng)絡(luò)的運(yùn)營(yíng)商利用它們進(jìn)行分布式拒絕服務(wù) (DDoS) 攻擊。這為新興的物聯(lián)網(wǎng) (IoT) 行業(yè)敲響了警鐘——展示了黑客如何利用聯(lián)網(wǎng)的智能設(shè)備達(dá)到自己的目的。盡管 Mirai 攻擊的重點(diǎn)是消費(fèi)設(shè)備，但對(duì)工業(yè)物聯(lián)網(wǎng)的影響是嚴(yán)重的。如果不采取對(duì)策，工廠就有可能成為類似大規(guī)模襲擊的受害者。風(fēng)險(xiǎn)范圍從生產(chǎn)損失到連接機(jī)器的嚴(yán)重?fù)p壞。安全專家的分析表明，遭受黑客攻擊的設(shè)備制造商會(huì)犯相對(duì)簡(jiǎn)單的錯(cuò)誤。在 Mirai 攻擊的案例中，路由器幾乎沒有針對(duì)黑客登錄并向其上傳新固件的保護(hù)措施。?盡管 Mirai 攻擊的重點(diǎn)是消費(fèi)設(shè)備，但對(duì)工業(yè)物聯(lián)網(wǎng)的影響是嚴(yán)重的。如果不采取對(duì)策，工廠就有可能成為類似大規(guī)模襲擊的受害者。風(fēng)險(xiǎn)范圍從生產(chǎn)損失到連接機(jī)器的嚴(yán)重?fù)p壞。安全專家的分析表明，遭受黑客攻擊的設(shè)備制造商會(huì)犯相對(duì)簡(jiǎn)單的錯(cuò)誤。在 Mirai 攻擊的案例中，路由器幾乎沒有針對(duì)黑客登錄并向其上傳新固件的保護(hù)措施。?物聯(lián)網(wǎng)安全基金會(huì) (IoTSF) 等組織已發(fā)布旨在防止類似攻擊的建議。IoTSF 確定了防范 Mirai 的措施。它們包括需要確保訪問代碼或密碼對(duì)每個(gè)單元都是唯一的，并且不會(huì)在一組設(shè)備之間共享。即使黑客能夠發(fā)現(xiàn)其中一個(gè)的密碼，他們也無(wú)法使用相同的訪問憑據(jù)登錄到其他人。進(jìn)一步的建議是，設(shè)備應(yīng)防止將未經(jīng)受信任提供商數(shù)字簽名的固件加載到其中。物聯(lián)網(wǎng)安全基金會(huì) (IoTSF) 等組織已發(fā)布旨在防止類似攻擊的建議。IoTSF 確定了防范 Mirai 的措施。它們包括需要確保訪問代碼或密碼對(duì)每個(gè)單元都是唯一的，并且不會(huì)在一組設(shè)備之間共享。即使黑客能夠發(fā)現(xiàn)其中一個(gè)的密碼，他們也無(wú)法使用相同的訪問憑據(jù)登錄到其他人。進(jìn)一步的建議是，設(shè)備應(yīng)防止將未經(jīng)受信任提供商數(shù)字簽名的固件加載到其中。雖然答案是每個(gè)單位都擁有唯一的憑據(jù)，但從后勤的角度來(lái)看，這可能很難管理。如果每臺(tái)設(shè)備都需要由專家安裝人員單獨(dú)配置，那么 IIoT 系統(tǒng)的部署成本就會(huì)非常高。這也是一種增加風(fēng)險(xiǎn)的策略，因?yàn)樵S多設(shè)備可能需要由一小群人進(jìn)行配置——這使它們成為工業(yè)間諜和社會(huì)工程攻擊的主要目標(biāo)。雖然答案是每個(gè)單位都擁有唯一的憑據(jù)，但從后勤的角度來(lái)看，這可能很難管理。如果每臺(tái)設(shè)備都需要由專家安裝人員單獨(dú)配置，那么 IIoT 系統(tǒng)的部署成本就會(huì)非常高。這也是一種增加風(fēng)險(xiǎn)的策略，因?yàn)樵S多設(shè)備可能需要由一小群人進(jìn)行配置——這使它們成為工業(yè)間諜和社會(huì)工程攻擊的主要目標(biāo)。圖 1：適用于 IIoT 實(shí)施的證書層次結(jié)構(gòu)。圖 1：適用于 IIoT 實(shí)施的證書層次結(jié)構(gòu)。安裝唯一密鑰的點(diǎn)也是一個(gè)問題。該程序應(yīng)在制造供應(yīng)鏈的早期發(fā)生。這避免了通過網(wǎng)絡(luò)傳輸密鑰的需要，這是安全的主要風(fēng)險(xiǎn)，特別是如果攻擊者知道網(wǎng)絡(luò)何時(shí)正在建立。鑒于工業(yè)項(xiàng)目的性質(zhì)，不能排除對(duì)私鑰傳輸?shù)墓簟?/font>安裝唯一密鑰的點(diǎn)也是一個(gè)問題。該程序應(yīng)在制造供應(yīng)鏈的早期發(fā)生。這避免了通過網(wǎng)絡(luò)傳輸密鑰的需要，這是安全的主要風(fēng)險(xiǎn)，特別是如果攻擊者知道網(wǎng)絡(luò)何時(shí)正在建立。鑒于工業(yè)項(xiàng)目的性質(zhì)，不能排除對(duì)私鑰傳輸?shù)墓簟?/font>在將傳感器節(jié)點(diǎn)或 IIoT 設(shè)備視為系統(tǒng)的可信部分之前，需要執(zhí)行幾個(gè)步驟來(lái)安裝它。第一步是將其注冊(cè)到網(wǎng)絡(luò)中。也就是說(shuō)，它需要自己獨(dú)特的網(wǎng)絡(luò)地址和與服務(wù)器通信的方式——最有可能是本地網(wǎng)關(guān)或路由器，以促進(jìn)訪問更廣泛的物聯(lián)網(wǎng)。在將傳感器節(jié)點(diǎn)或 IIoT 設(shè)備視為系統(tǒng)的可信部分之前，需要執(zhí)行幾個(gè)步驟來(lái)安裝它。第一步是將其注冊(cè)到網(wǎng)絡(luò)中。