網(wǎng)絡(luò)安全行業(yè)測(cè)試標(biāo)準(zhǔn)組織發(fā)布其首個(gè)《物聯(lián)網(wǎng)安全產(chǎn)品測(cè)試指南》
8月31日,網(wǎng)絡(luò)安全業(yè)界著名的反惡意軟件測(cè)試標(biāo)準(zhǔn)組織(Anti-Malware Testing Standards Organization���,AMTSO)發(fā)布其首個(gè)《物聯(lián)網(wǎng)安全產(chǎn)品測(cè)試指南》�����,(Guidelines for Testing of IoT Security Products)����。該指南將測(cè)試人員和供應(yīng)商的意見很好地進(jìn)行結(jié)合,內(nèi)容涵蓋了物聯(lián)網(wǎng)安全產(chǎn)品測(cè)試的原則����,為測(cè)試人員提供測(cè)試環(huán)境、樣本選擇�����、測(cè)試特定安全功能以及性能基準(zhǔn)測(cè)試等方面的建議����。
一�����、發(fā)布背景
萬物互聯(lián)時(shí)代已經(jīng)到來���,隨著智能硬件創(chuàng)業(yè)的興起���,大量智能家居和可穿戴設(shè)備進(jìn)入了人們的生活�����。根據(jù)Gartner報(bào)告預(yù)測(cè):2020年全球IOT物聯(lián)網(wǎng)設(shè)備數(shù)量高達(dá)260億個(gè)��。2021年�����,這一數(shù)字已經(jīng)超過了300億大關(guān)�����。
預(yù)計(jì)到2025年將有超過750億臺(tái)設(shè)備連接到互聯(lián)網(wǎng)��,連接到互聯(lián)網(wǎng)的設(shè)備數(shù)量呈指數(shù)增長(zhǎng)��。但是由于安全標(biāo)準(zhǔn)滯后�,以及智能設(shè)備制造商缺乏安全意識(shí)和投入�����,物聯(lián)網(wǎng)已經(jīng)埋下極大隱患,是個(gè)人隱私�、企業(yè)信息安全甚至國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的頭號(hào)安全威脅。試想一下�����,無論家用或企業(yè)級(jí)的互連設(shè)備甚至到國(guó)家關(guān)鍵基礎(chǔ)設(shè)施�,如接入互聯(lián)網(wǎng)的交通指示燈,恒溫器����,或醫(yī)用監(jiān)控設(shè)備,國(guó)家電網(wǎng)���、交通等遭到攻擊���,后果都將非常可怕���。基于此背景���,國(guó)際反惡意軟件測(cè)試標(biāo)準(zhǔn)組織(AMTSO)����,(其會(huì)員由60多家全球頂級(jí)信息安全廠商和知名檢測(cè)機(jī)構(gòu)組成),為推動(dòng)物聯(lián)網(wǎng)安全產(chǎn)品獨(dú)立的基準(zhǔn)測(cè)試和認(rèn)證工作����,發(fā)布其首個(gè)《物聯(lián)網(wǎng)安全產(chǎn)品測(cè)試指南》,在全球范圍內(nèi)促進(jìn)威脅情報(bào)共享�。
二、針對(duì)物聯(lián)網(wǎng)的攻擊威脅進(jìn)行分類
《物聯(lián)網(wǎng)安全產(chǎn)品測(cè)試指南》中����,針對(duì)物聯(lián)網(wǎng)的攻擊進(jìn)行了區(qū)分,主要包括入侵攻擊��、出口攻擊以及網(wǎng)絡(luò)內(nèi)攻擊�����,它們可以單獨(dú)或組合使用����。
入侵攻擊是在受安全產(chǎn)品保護(hù)的局域網(wǎng)(LAN)外圍發(fā)起的攻擊。這些攻擊可能是:攻擊者執(zhí)行的主動(dòng)掃描;對(duì)可通過互聯(lián)網(wǎng)訪問的管理或/和其他服務(wù)或接口進(jìn)行暴力攻擊;攻擊者通過互聯(lián)網(wǎng)主動(dòng)執(zhí)行的攻擊��,目的是訪問受安全產(chǎn)品保護(hù)的本地網(wǎng)絡(luò)中的設(shè)備�。盡管攻擊具有“入侵”性質(zhì)��,但安全產(chǎn)品可以使用以出口為重點(diǎn)的防護(hù)措施來保護(hù)網(wǎng)絡(luò)����,這一點(diǎn)至關(guān)重要����。指南指出,測(cè)試人員應(yīng)額外考慮這種行為:例如�����,在物聯(lián)網(wǎng)世界中����,攻擊者通常直接或通過其他受感染的設(shè)備執(zhí)行命令注入,這會(huì)將此類攻擊歸類為“入侵”�����。測(cè)試者必須考慮所有攻擊階段�,并根據(jù)實(shí)際表現(xiàn)進(jìn)行評(píng)分。
出口攻擊是由受安全產(chǎn)品保護(hù)的局域網(wǎng)邊界內(nèi)的設(shè)備發(fā)起的攻擊��。攻擊可能源自另一種類型的攻擊����,或不同類型攻擊的單獨(dú)階段。例如:“遠(yuǎn)程代碼執(zhí)行”攻擊���,用于將腳本或惡意二進(jìn)制文件下載到受攻擊的設(shè)備上��。另一種常見的出口攻擊類型是掃描其他目標(biāo)以在未來進(jìn)行攻擊���,或者將受感染的設(shè)備用作DDoS攻擊的一部分。
網(wǎng)絡(luò)內(nèi)攻擊是安全產(chǎn)品保護(hù)的局域網(wǎng)邊界內(nèi)“橫向移動(dòng)”的例子���,比如攻擊源自邊界內(nèi)的設(shè)備���,而目標(biāo)是同一網(wǎng)絡(luò)中的另一臺(tái)設(shè)備。應(yīng)該注意的是�����,對(duì)于一般的購物/辦公應(yīng)用程序來說���,網(wǎng)絡(luò)內(nèi)檢測(cè)是極其困難和昂貴的�����。
三�����、物聯(lián)網(wǎng)安全產(chǎn)品測(cè)試六大準(zhǔn)則
(1) 測(cè)試遵循“結(jié)果相同�����,無差異評(píng)分”的一般原則
所有測(cè)試和基準(zhǔn)測(cè)試都應(yīng)關(guān)注于驗(yàn)證所交付給用戶的最終結(jié)果和性能��,而不是產(chǎn)品在后端的運(yùn)行方式��。例如����,使用MUD(Manufacturer Usage Descriptions)技術(shù)保護(hù)網(wǎng)絡(luò)的設(shè)備不應(yīng)該與使用ML(Machine Learning)的設(shè)備得分不同,假設(shè)它們的性能和行為是相同的����。因此,指南建議��,只要結(jié)果相同�����,就不應(yīng)在使用機(jī)器學(xué)習(xí)或制造商使用說明的產(chǎn)品之間進(jìn)行評(píng)級(jí)差異。
(2) 威脅樣本選擇可根據(jù)目標(biāo)設(shè)備的操作系統(tǒng)類型�����、CPU架構(gòu)的不同進(jìn)行區(qū)分
該指南為針對(duì)物聯(lián)網(wǎng)安全解決方案基準(zhǔn)測(cè)試選擇正確樣本的挑戰(zhàn)提供了指導(dǎo)��。指南建議��,理想情況下��,威脅樣本可以分為工業(yè)和非工業(yè)����,進(jìn)一步根據(jù)針對(duì)的操作系統(tǒng)��、CPU架構(gòu)和嚴(yán)重性評(píng)分進(jìn)行分類�����。
物聯(lián)網(wǎng)設(shè)備通常不運(yùn)行Windows系統(tǒng)�����,因此選擇明確針對(duì)物聯(lián)網(wǎng)設(shè)備或通用Linux設(shè)備的惡意軟件樣本至關(guān)重要。還可通過MIPS����、MIPSEL、ARM等物聯(lián)網(wǎng)設(shè)備常用的CPU架構(gòu)進(jìn)一步過濾�����。另一方面����,一些威脅可能針對(duì)基于Windows的物聯(lián)網(wǎng)設(shè)備甚至某些工業(yè)設(shè)備,因此根據(jù)DUT(Device Under Test)原則����,設(shè)置和方法,所有變量都需要考慮在內(nèi)�。在理想并資源密集的測(cè)試場(chǎng)景中,所有樣本都將分為工業(yè)和非工業(yè)樣本����,并進(jìn)一步根據(jù)威脅的目標(biāo)設(shè)備的操作系統(tǒng)和CPU架構(gòu)以及威脅的嚴(yán)重性評(píng)分的不同而進(jìn)行區(qū)分。測(cè)試人員應(yīng)牢記測(cè)試的范圍�,適當(dāng)?shù)剡x擇樣品,同時(shí)考慮到被測(cè)產(chǎn)品的保護(hù)范圍�。特定情況下,使用更廣泛的威脅樣本,針對(duì)更廣泛的環(huán)境進(jìn)行額外的測(cè)試可能有價(jià)值��。
(3) 確定檢測(cè)到威脅后采取的措施有別于傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品
在檢測(cè)和采取的措施方面�,物聯(lián)網(wǎng)安全解決方案與傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品的工作方式大不相同,例如����,一些傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品解決方案是簡(jiǎn)單地檢測(cè)和阻止威脅而不通知用戶��。該指南建議將威脅與可由測(cè)試人員控制的管理控制臺(tái)一起使用�����,或者使用在進(jìn)行攻擊時(shí)可以看到攻擊的設(shè)備���。如不可行���,則可以對(duì)“被攻擊”的設(shè)備進(jìn)行網(wǎng)絡(luò)嗅探,以便從網(wǎng)絡(luò)角度確定攻擊����。后一種方法可以擴(kuò)展到網(wǎng)絡(luò)中受安全產(chǎn)品保護(hù)的所有設(shè)備。
(4) 用替代品來模仿真實(shí)的物聯(lián)網(wǎng)設(shè)備以測(cè)試攻擊
在理想情況下���,所有測(cè)試和基準(zhǔn)測(cè)試都將在使用真實(shí)設(shè)備的可控環(huán)境中執(zhí)行���。但是�,設(shè)置可能很復(fù)雜����,并且較難實(shí)現(xiàn)。如果測(cè)試人員不能在測(cè)試環(huán)境中使用真實(shí)設(shè)備��,建議他們通過在禁用安全設(shè)備的安全功能的情況下運(yùn)行所需的場(chǎng)景并檢查攻擊執(zhí)行來驗(yàn)證他們的方法���。該指南建議就使用Raspberry Pi等替代品來模仿真實(shí)的物聯(lián)網(wǎng)設(shè)備���,以測(cè)試從未見過的惡意軟件的攻擊。
當(dāng)無法在“受攻擊”模擬/基準(zhǔn)測(cè)試中使用真實(shí)的物聯(lián)網(wǎng)設(shè)備時(shí)��,替代品應(yīng)盡可能模仿真實(shí)設(shè)備��。指南提供了一種理想的方法是使用廉價(jià)的通用計(jì)算機(jī)���,如Raspberry Pi�,并通過安裝相關(guān)服務(wù)(如模仿物聯(lián)網(wǎng)IP攝像頭時(shí)的RTSP服務(wù)器)和更改配置(如MAC地址���、主機(jī)名���、網(wǎng)絡(luò)配置)��。通過這樣做��,設(shè)備的網(wǎng)絡(luò)探測(cè)指紋(Nmap)及其運(yùn)行服務(wù)應(yīng)該模仿真實(shí)設(shè)備���。測(cè)試人員應(yīng)在其測(cè)試報(bào)告中反映模擬設(shè)備的使用情況,并驗(yàn)證威脅樣本是否可以在沒有安全解決方案的情況下對(duì)模擬設(shè)備進(jìn)行攻擊�����。
(5) 特定安全功能的測(cè)試可分階段單獨(dú)測(cè)試
由于對(duì)物聯(lián)網(wǎng)設(shè)備的攻擊通常具有多個(gè)階段�,因此可以單獨(dú)測(cè)試每個(gè)階段��,而不是同時(shí)進(jìn)行整個(gè)攻擊�����。在整個(gè)產(chǎn)品測(cè)試中���,重要的是平衡“階段”測(cè)試和完整的端到端場(chǎng)景���,并在測(cè)試報(bào)告中反映這些選擇���。該指南包含針對(duì)不同攻擊階段的建議,包括偵察�、初始訪問和執(zhí)行。他們概述了單獨(dú)測(cè)試每個(gè)階段與同時(shí)經(jīng)歷整個(gè)攻擊的可能性�����。
一般攻擊的第一步都是偵察�,在物聯(lián)網(wǎng)世界中,此類攻擊通常采用掃描開放端口和/或服務(wù)的形式���。通?���?赏ㄟ^安全產(chǎn)品中的功能來進(jìn)行防護(hù)�����,例如高級(jí)入侵阻止列表���、主動(dòng)掃描并預(yù)警����,甚至自動(dòng)重新配置違規(guī)設(shè)備。實(shí)驗(yàn)室環(huán)境內(nèi)的測(cè)試可以包括從廣域網(wǎng)側(cè)主動(dòng)掃描設(shè)備���,或甚至欺騙已知攻擊的IP�����,并使用這些IP從廣域網(wǎng)側(cè)掃描網(wǎng)絡(luò)����。初始訪問防護(hù)基準(zhǔn)應(yīng)側(cè)重于專門針對(duì)物聯(lián)網(wǎng)設(shè)備的攻擊載體�,無論是命令注入、特定服務(wù)中的漏洞�,還是遠(yuǎn)程代碼/命令執(zhí)行(RCE)漏洞�。執(zhí)行預(yù)防旨在防止攻擊者獲得初始訪問權(quán)限后的攻擊階段的一組措施。此類攻擊可能包括其他惡意軟件的下載階段�、C2通信���、DDoS攻擊等���。
(6) 性能基準(zhǔn)測(cè)試建議區(qū)分各種用例情況
《物聯(lián)網(wǎng)安全產(chǎn)品測(cè)試指南》還提供了有關(guān)性能基準(zhǔn)測(cè)試的注意事項(xiàng)��,建議區(qū)分各種用例����。例如消費(fèi)者與企業(yè),延遲的嚴(yán)重性或每個(gè)協(xié)議的吞吐量降低要求����,這取決于其目的。
由于物聯(lián)網(wǎng)安全產(chǎn)品通常在網(wǎng)絡(luò)層面運(yùn)行����,因此必須考慮對(duì)用戶體驗(yàn)的影響,這主要是體現(xiàn)在增加延遲或/和降低吞吐量方面�����。網(wǎng)絡(luò)基準(zhǔn)測(cè)試是一個(gè)復(fù)雜的話題���,已經(jīng)存在很多可用的信息和方法�,因此它超出了物聯(lián)網(wǎng)安全測(cè)試指南的范圍�。但仍有一些測(cè)試人員需要牢記的建議:在對(duì)產(chǎn)品的性能進(jìn)行基準(zhǔn)測(cè)試時(shí),考慮客戶用例是非常重要的����。例如�,入門級(jí)安全解決方案的吞吐量期望值將不同于中小企業(yè)解決方案�����。在每個(gè)協(xié)議的基礎(chǔ)上考慮增加的延遲也是非常重要的;例如�,安全超文本傳輸協(xié)議/超文本傳輸協(xié)議(HTTPS/HTTP)流量對(duì)于實(shí)時(shí)視頻傳輸可能是關(guān)鍵的,但是對(duì)于交互式郵件存取(IMAP)協(xié)議增加幾秒鐘的延遲通常不是非常關(guān)鍵的���。
四����、幾點(diǎn)認(rèn)識(shí)
(1) 可視為物聯(lián)網(wǎng)安全產(chǎn)品領(lǐng)域標(biāo)準(zhǔn)的起點(diǎn)
面對(duì)連接到互聯(lián)網(wǎng)的設(shè)備數(shù)量呈指數(shù)增長(zhǎng)而引發(fā)的物聯(lián)網(wǎng)安全問題���,在最近兩年美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)就連續(xù)制定了NISTIR8259系列(適用于物聯(lián)網(wǎng)設(shè)備制造商)和SP800-213系列(適用于聯(lián)邦機(jī)構(gòu))的網(wǎng)絡(luò)安全指南���。NISTIR8259系列為物聯(lián)網(wǎng)設(shè)備的制造提供了安全控制的方向與指引,SP800-213系列為美國(guó)聯(lián)邦機(jī)構(gòu)部署物聯(lián)網(wǎng)設(shè)備的工作提供網(wǎng)絡(luò)安全指導(dǎo)��。但就目前來看���。還沒有太多的信息和指導(dǎo)來測(cè)試物聯(lián)網(wǎng)安全產(chǎn)品,因此《物聯(lián)網(wǎng)安全產(chǎn)品測(cè)試指南》的發(fā)布在此領(lǐng)域無疑是一個(gè)很新的指導(dǎo)方針�����,是一個(gè)很好的起點(diǎn)。
(2) 數(shù)據(jù)接口的安全性需要測(cè)試人員重點(diǎn)關(guān)注
物聯(lián)網(wǎng)的核心是能夠從一個(gè)端點(diǎn)向另一個(gè)端點(diǎn)進(jìn)行有效和無縫的數(shù)據(jù)交換�。因此,理解和評(píng)估各種設(shè)備之間的交互連接方式����,以及數(shù)據(jù)交換是否安全,則顯得非常重要����。只要在整個(gè)通信鏈路的某處發(fā)生了漏洞,都將導(dǎo)致數(shù)據(jù)的泄漏����,并引起各種后續(xù)問題。另外����,密切注視物聯(lián)網(wǎng)范圍內(nèi)的任何異常行為或活動(dòng)也是至關(guān)重要的。因?yàn)樵谠O(shè)備系統(tǒng)內(nèi)部�����,任何數(shù)據(jù)的流轉(zhuǎn)都可能會(huì)被別有用心的黑客所利用。所以�����,安全測(cè)試人員要保持高度警惕�����,徹底并持續(xù)地監(jiān)控各個(gè)數(shù)據(jù)接口的安全性���。
(3) 沒有一勞永逸的安全準(zhǔn)則�����,有效性有待考證
物聯(lián)網(wǎng)安全產(chǎn)品的測(cè)試與傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品的測(cè)試完全不同�,因?yàn)槲锫?lián)網(wǎng)安全產(chǎn)品需要保護(hù)企業(yè)和家庭中各種不同的智能設(shè)備��,因此測(cè)試環(huán)境的設(shè)置更具有挑戰(zhàn)性�。此外,由于智能設(shè)備大多主要在Linux上運(yùn)行���,因此測(cè)試人員必須使用這些設(shè)備容易受到攻擊的特定威脅樣本���,以便使其評(píng)估具有相關(guān)性。通過該指南的指導(dǎo)��,解決了這些特殊性����,為公平的物聯(lián)網(wǎng)安全產(chǎn)品測(cè)試設(shè)定方向。同時(shí)也應(yīng)看到�����,指南給出指導(dǎo)建議不是一個(gè)全面的安全準(zhǔn)則����,也不應(yīng)該當(dāng)作為一個(gè)全面的準(zhǔn)則來看待,新指南標(biāo)準(zhǔn)在實(shí)踐中的有效性還有待觀察���。
供稿:三十所信息中心
文章來源: 信息安全與通信保密雜志社
在線咨詢
在線咨詢
0371-63319761