有些人擔(dān)心非傳統(tǒng)聯(lián)網(wǎng)設(shè)備的增加可能意味著為攻擊者提供更多潛在切入點(diǎn)來(lái)入侵企業(yè)。同時(shí)，很多這些設(shè)備都屬于嵌入式系統(tǒng)范疇，該領(lǐng)域的專家擔(dān)心，從嵌入式技術(shù)令人擔(dān)憂的歷史來(lái)看，這種技術(shù)可能給企業(yè)帶來(lái)最嚴(yán)重的安全風(fēng)險(xiǎn)。

傳統(tǒng)上來(lái)看，嵌入式設(shè)備包含很小的芯片組，并有“精簡(jiǎn)版”操作系統(tǒng)—這通常是Linux。企業(yè)中最常見的嵌入式設(shè)備是U盤—該設(shè)備曾用來(lái)加載臭名昭著的Stuxnet惡意軟件，以及聯(lián)網(wǎng)打印機(jī)，甚至還有現(xiàn)在的硬盤驅(qū)動(dòng)器固件—最新曝光的Equation間諜軟件就存在其中。

然而，物聯(lián)網(wǎng)的出現(xiàn)讓該類別的設(shè)備正迅速增加，物聯(lián)網(wǎng)將網(wǎng)絡(luò)功能擴(kuò)展到廣泛的設(shè)備中，這些設(shè)備以前從沒有過這種功能，例如恒溫器和冰箱等辦公設(shè)備。這樣一來(lái)，企業(yè)可能很快就會(huì)發(fā)現(xiàn)他們網(wǎng)絡(luò)中出現(xiàn)更多新的攻擊點(diǎn)，并且，專家并不確定這些新一代嵌入式設(shè)備是否已經(jīng)解決了前一代的安全漏洞。

根據(jù)安全咨詢公司ChosenPlaintextPartners首席技術(shù)官BenjaminJun表示，嵌入式系統(tǒng)歷來(lái)都會(huì)使用大量專有組件，并沒有與其他系統(tǒng)共享太多共同電路，這意味著當(dāng)發(fā)現(xiàn)漏洞時(shí)，由于成本或資源限制，漏洞不太可能得到修復(fù)。

Jun稱，現(xiàn)代嵌入式系統(tǒng)已經(jīng)不再是這種模式，它們開始與其他流行移動(dòng)設(shè)備共享一些相同的內(nèi)部系統(tǒng)組件（例如ARM芯片），但嵌入式設(shè)備通常必須在幾年甚至幾十年受到支持，這又會(huì)導(dǎo)致一些新的問題。

“手機(jī)更新?lián)Q代很迅速，但嵌入式系統(tǒng)往往會(huì)使用更長(zhǎng)時(shí)間，”Jun稱，“手機(jī)快速迭代的過程并沒有出現(xiàn)在持續(xù)使用10年到20年的嵌入式設(shè)備中，調(diào)試這些設(shè)備的團(tuán)隊(duì)會(huì)繼續(xù)向前發(fā)展，所以安全過程很有限。”

Jun表示，除了嵌入式系統(tǒng)需要的支持水平，即使有可用的軟件更新，企業(yè)可能都會(huì)忽視這些設(shè)備，因?yàn)閺闹С趾蜕?jí)方面來(lái)看每節(jié)點(diǎn)成本更低。

“筆記本電腦成本相當(dāng)高，但這些成本是合理的，因?yàn)槟阒栏喙P記本電腦會(huì)帶來(lái)更高的生產(chǎn)效率。但是打印機(jī)或者智能溫控器呢？”Jun稱，“對(duì)于增量?jī)r(jià)值被認(rèn)為很低的東西，你愿意花多少成本來(lái)確保其安全性？”

根據(jù)Jun表示，最常被忽略的嵌入式威脅之一是VoIP會(huì)議電話和其他有麥克風(fēng)的設(shè)備，其中麥克風(fēng)可以在不被察覺的情況下打開來(lái)記錄敏感信息。

這僅僅只是個(gè)開始。物聯(lián)網(wǎng)的普及意味著企業(yè)將面對(duì)更廣泛類型設(shè)備帶來(lái)的安全問題。也就是說，除了U盤和打印機(jī)，可穿戴設(shè)備和其他尖端設(shè)備都可能會(huì)進(jìn)入企業(yè)網(wǎng)絡(luò)，而且通常它們沒有內(nèi)置安全控制。

同樣地，智能恒溫器或冰箱等設(shè)備將帶來(lái)新風(fēng)險(xiǎn)，并且，這些設(shè)備的支持責(zé)任可能很模糊，因?yàn)樗鼈兛赡軐儆谖飿I(yè)管理者，而不在企業(yè)IT部門的職權(quán)范圍。

安全的設(shè)計(jì)

專家指出目前還不知道在長(zhǎng)期來(lái)看新的嵌入式設(shè)備是否將比過去嵌入式系統(tǒng)得到更好的支持，但保護(hù)嵌入式設(shè)備的關(guān)鍵是在一開始就安全地設(shè)計(jì)設(shè)備。

“你必須在一開始設(shè)計(jì)硬件和固件時(shí)，就確保它們可以防止惡意軟件訪問或物理篡改，”Imation公司分公司IronKey工程和產(chǎn)品管理副總裁KenJones表示，“固件可以在現(xiàn)場(chǎng)進(jìn)行升級(jí)來(lái)修復(fù)漏洞和安全漏洞，這非常常見，但在你進(jìn)行這個(gè)過程時(shí)如果沒有全面思考，你將制造更多問題。”

根據(jù)Jones表示，安全的設(shè)計(jì)包括防止對(duì)設(shè)備的物理篡改、加密以及固件數(shù)字簽名。

很多老舊的嵌入式系統(tǒng)需要在現(xiàn)場(chǎng)執(zhí)行更新，相比之下，企業(yè)應(yīng)該更喜歡使用數(shù)字簽名固件的系統(tǒng)，這些固件不僅在安裝之前會(huì)檢查安全性，在第一次運(yùn)行之前也會(huì)進(jìn)行檢查。但這可能很困難，所以企業(yè)可能需要改變嵌入式設(shè)備政策。

“從企業(yè)的角度來(lái)看，這是關(guān)于允許什么連接到網(wǎng)絡(luò)，使用端點(diǎn)保護(hù)來(lái)阻止除白名單產(chǎn)品以外的設(shè)備，”Jones稱，“這應(yīng)該會(huì)讓企業(yè)非常嚴(yán)格地明確哪些可以連接到網(wǎng)絡(luò)，我認(rèn)為我們將會(huì)看到企業(yè)開始限定允許聯(lián)網(wǎng)的設(shè)備。”

WindRiverSystems公司IoT解決方案高級(jí)主管AlexanderDamisch同意這種說法。Damisch建議企業(yè)安全地設(shè)計(jì)自己的基礎(chǔ)設(shè)施，這可能包括在發(fā)送或接收企業(yè)網(wǎng)絡(luò)的數(shù)據(jù)之前對(duì)設(shè)備進(jìn)行身份驗(yàn)證；因?yàn)楹茈y檢測(cè)嵌入式固件中的惡意軟件，監(jiān)控流量是關(guān)鍵。

“這就是說，企業(yè)需要在一定程度上管理個(gè)人設(shè)備，這是用戶不喜歡的事情，”Damisch稱，“但另一種選擇是，讓用戶根本就沒有訪問權(quán)限。最關(guān)鍵的不是阻止個(gè)人設(shè)備，而是讓用戶知道系統(tǒng)被設(shè)計(jì)成這樣，這可以幫助員工更容易地接受這種做法。”

Damisch還主張，對(duì)網(wǎng)關(guān)背后或虛擬系統(tǒng)中的易受攻擊嵌入式系統(tǒng)進(jìn)行隔離，這通常是更具成本效益的做法，并允許更新網(wǎng)關(guān)規(guī)則來(lái)阻止新的威脅，畢竟嵌入式系統(tǒng)可能會(huì)變化，因?yàn)樗鼈儧]有被設(shè)計(jì)為經(jīng)常更新。

“重新設(shè)計(jì)很困難，因此，你應(yīng)該找到安全薄弱的地方，要么把它放在虛擬系統(tǒng)，或者在前面部署網(wǎng)關(guān)，從而監(jiān)控和加密其中的所有流量，”Damisch稱，“安全應(yīng)該是從開發(fā)過程就開始考慮的因素。”

更多資訊請(qǐng)關(guān)注嵌入式頻道