物联网供应链漏洞威胁工业物联网(IIoT)安全:
供应链不仅为物联网提供了基础,还为漏洞提供了保护。IT专业人员需要抵御利用供应链安全漏洞的恶意攻击。借助基于IIoT的运营来构造产品的大多数公司可能会密切关注供应链,以提供可预测的原材料和服务流,从而使他们能够推出产品并保持业务繁荣。如果该供应链的安全性受到某种程度的损害,企业可能会陷入停顿状态。
被忽视的供应链提供了构建IIoT基础设施的组件。从安全角度来看,这些设备的购买者位于供应链的末端,供应链对于他们没有足够的的透明性。实际上,跟踪构成所交付的IIoT设备的内部元素的来源将是一个挑战。因此,与IIoT绑定的组件附带可利用的安全漏洞并不少见。IIoT供应链的复杂性和全球影响力只会使问题更加复杂,单个设备可能由数十个组件制造商提供的零件制成。
IIoT基础设施面临的风险是真实存在的:
大多数网络运营商都认识到IIoT供应链风险,但是特定的漏洞很难隔离。这些部署通常意义深远,超出制造商的范围,延伸到托运人、商人和其他商业伙伴。随着网络的扩展并包括其他集成点,一小部分恶意代码被恶意复制的风险只会增加。实际上,代码本身可能不是恶意的,但可以提供一个可能危害系统的开放端口。
Finite State首席执行官Matt Wyckhouse指出:“仅是亲眼目睹嵌入式系统中有多少漏洞,这是资产所有者没有意识到这些漏洞存在于其系统中的地方。”一旦违反了IIoT环境,恶意行为者就可以将其作为进一步潜入公司系统的入口。工业控制系统(ICS)和其他生产系统可能会受到威胁,但是如果闯入者可以逃避安全障碍并进行更深入的研究,则可能还会窃取关键的公司应用和相关数据。这全部归因于可疑固件,固件进入了生产传感器、执行器和其他可运行IIoT的供应链。在报告漏洞时,制造商需要一段时间才能解决该漏洞,在那里发布补丁,然后资产所有者才能执行对该设备的更新并运行最新版本的固件。
描述已知漏洞如何持续存在:
ARC咨询小组针对安全提供商卡巴斯基(Kaspersky)在2019年7月发布的《工业网络安全状况》中,超过四分之一(26%)的受访者表示,他们认为“来自第三方的威胁,例如供应连锁店或合作伙伴”成为主要问题,另有44%的受访者表示这是次要问题。有趣的是,所有其他主要安全问题,例如勒索软件(70%)和针对性攻击(68%)都可以通过供应链违规对公司发起。在同一调查中,有28%的受访者指出,很可能或非常有可能将其公司的ICS或工业控制网络作为攻击目标。
由荷兰安全机构爱迪德(Erdeto)于2019年进行的另一次“全球互联产业网络安全调查”强调,许多公司的安全系统已经被入侵性物联网攻击所烧毁:“该研究令人震惊地发现,只有17%的物联网设备使用或大型企业制造的产品在过去的12个月中没有经历过网络攻击。”
物联网协议一般分为两大类,一类是传输协议,一类是通信协议。
传输协议一般负责子网内设备间的组网及通信;通信协议则主要是运行在传统互联网TCP/IP协议之上的设备通讯协议,负责设备通过互联网进行数据交换及通信。
Zigbee,也称紫蜂,是一种近距离、低复杂度、低功耗、低数据速率、低成本的双向无线通信技术。主要适合于自动控制和远程控制领域,可以嵌入各种设备中,同时支持地理定位功能。由于蜜蜂(bee)是靠飞翔和“嗡嗡”(zig)地抖动翅膀的“舞蹈”来与同伴传递花粉所在方位和远近信息的,也就是说蜜蜂依靠这样的方式构建了群体中的通信“网络”,因此ZigBee的发明者们利用蜜蜂的这种行为来形象地描述这种无线信息传输技术。
在短距离物联设备连接技术方面,zigbee以IEEE802.15.4标准,在低速、低功耗,低成本等方面有着独特的优势。根据其技术特点,在智能家居、无线数据采集、灯光自动化控制、传感器等领域有着较广的应用与发展。
Zigbee的特性 :
低功耗:普通的2节5号电池可支持1个节点工作6-24个自然月;
低成本:免协议专利费用,简化的协议(不到蓝牙1/10);
低速率:250kbps/40kbps/20kbps;
近距离:一般10m-100m之间,增加发射功率,可达1-3km,支持路由和中继;
短时延:响应速度快,睡眠转工作10ms;蓝牙:3-10s;wifi:3s;
高容量:1个主节点可管理254个子节点;最多可组65000个节点;
高安全:1)安全设定;2)使用访问控制清单;3)AES 128 对称密码。
物盾实验室ZigBee安全技术聚焦:
ZigBee安全机制:
ZigBee主要提供有三个等级的安全模式:
1. ⾮安全模式:为默认安全模式,即不采取任何安全服务,因此可能被窃听;
2. 访问控制模式:通过访问控制列表(Access Control List, ACL,包含有允许接⼊的硬件设备MAC地址) 限制⾮法节点获取数据;
3. 安全模式:采⽤AES 128位加密算法进⾏通讯加密,同时提供有0,32,64,128位的完整性校验,该模式⼜分为标准安全模式(明⽂传输密钥)和⾼级安全模式(禁⽌传输密钥)。
如果使⽤Zigbee安全模式, 三种类型的密钥将会被⽤于保证物联网通讯安全:
1. 主密钥(Master Key):⽤于配合ZigBee对称密钥的建⽴(SKKE)过程来派⽣其它密钥,也就是说,设备要先拥有信任中⼼(ZigBee⽹络中有且仅有的⼀个可信任设备,负责密钥分发与管理,以及⽹络的建⽴与维护)⽣成的主密钥才能派⽣⽹络密钥和链路密钥给其它设备,它可以由信任中⼼设置,也可基于⽤户访问数据,⽐如个⼈识别码(PIN),⼝令或密码等信息;
2. ⽹络密钥(Network Key):⽤于保护⼴播和组数据的机密性和完整性,同时也为⽹络认证提供保护,被⽹络中的多个设备所共享,仅在⼴播消息中使⽤;
3. 链接密钥(Link Key):⽤于保护两个设备之间单播数据的机密性和完整性,仅通讯中的2个设备持有,⽽单个设备需要多个链接密钥来保护每个端对端会话。
返回顶部
沪公网安备 31011202013059号