IoT的网络安全议题已提上日程

长期以来，大多数IoT/嵌入式系统厂商从未将在安全领域的投入作为优先事项。他们的理由是：为什么要为小概率事件花费资金？然而，随着一系列网络安全法规的逼近，这种疏忽将成为一个危险的选择。

BG Networks的CEO兼联合创始人Colin Duggan最近表示：“网络安全并不能帮助推销IoT产品。”他补充说，让公司承诺IoT的网络安全“比听起来要困难得多。”

尽管不安全的连接系统已经造成了严重的损害，但这一观点一直成立。

一个著名的例子，据报道是由俄罗斯发起的攻击，使得Colonial输油管道在2021年瘫痪。那次黑客攻击导致美国东海岸的燃料短缺，是美国石油基础设施目标受到的最大网络攻击。

Colonial输油管道的勒索软件攻击是由于一个被攻破的密码引发的。输油管道上可能发生的事在日常IoT设备中更容易发生，汽车、医疗设备、联网家用电器和嵌入式系统。

IoT设计师再也无法忽视潜在的安全威胁，或抵制确保其IoT/嵌入式设备安全所需的必要步骤。

全球各国政府已经意识到这个问题，并正在制定一系列新的和更新的网络安全法规。

这些法规包括：UNECE的R155/R156汽车网络安全法规；FDA更新的医疗器械规定；白宫最近发布的国家网络安全战略；正在出台的EU Cybersecurity Resilience Act；以及英国议会刚刚通过的Product Security and Telecommunications Infrastructure Act 2022。

漏洞管理

这些法规旨在加强关键基础设施的网络安全并保护个人数据。Duggan表示，理解这些法规的关键是“漏洞管理”。Duggan强调，政府“希望将责任放在制造IoT设备的公司身上”。

在更新后的国家网络安全战略中，白宫明确表示：“我们必须重新平衡捍卫网络空间的责任，将网络安全的负担从个人、小企业和地方政府转移到那些最有能力、最适合减少我们所有人风险的组织身上。”

换句话说，行业不能再推诿责任。IoT设备制造商将对其硬件的漏洞及其使用的软件负责。

对IoT/嵌入式系统公司的预期包括：

安全设计：评估威胁和风险，为每个新的IoT设备确定必要的安全功能。
安全支持和软件更新：IoT设备供应商必须维护和更新与IoT网络安全相关的文档。
告知消费者，以便他们对购买和使用的产品的安全有足够的了解。
售后漏洞管理。监控产品漏洞，迅速应对事件并发布软件更新。

为什么是现在？

对世界各国政府来说，恶意网络活动，现在往往由犯罪组织和国家发起，已从麻烦事演变成国家安全威胁。

随着IoT成为关键基础设施的组成部分，网络安全立法已成为许多政府的优先事项。

白宫表示，“政府必须以协调一致的方式运用国家力量的所有工具来保护我们的国家安全、公共安全和经济繁荣。”

欧盟也发出了类似的警告。欧洲即将出台的Cyber Resilience Act指出，“数字硬件和软件产品是网络攻击成功的主要途径之一。在联网的环境中，一个产品的网络安全事件可能影响到整个组织或整个供应链。”

应该关注SBOM

SBOM（software bill of materials）是监管机构特别关注的领域。

BG Network的Duggan引用了最近针对3CX的一次黑客攻击，3CX是一家电话软件供应商。他形容这次攻击仍然是一种“尚未完全解决的实时事件”，并表示它“似乎可以归因于朝鲜”。这次袭击针对的是软件供应链。

黑客攻击了数以十万计的组织使用的3CX桌面电话软件，在客户网络内植入了窃取信息的恶意软件。

Duggan提到，“他们还不知道公司是如何被渗透的”，他对渗透作出了推测：“当你更新时，软件会加载到你的计算机上。当它这样做时，它实际上会加载一个DLL（dynamic link library），这将使攻击者能够控制你的计算机。这将允许他们远程控制你的计算机。”

软件供应链黑客攻击让IoT社区感到恐慌。Duggan问道：“那么，如果你在IoT软件中使用开源，你如何知道该软件是安全的？它在互联网上随时可能被任何人修改。那么如何确保你整合的软件是安全的呢？”

安全性“不只是做好一件事”

Foundries.io的主席Ian Drew承认，IoT行业在应对网络安全方面已经取得了很大进步，但还不够。

Drew表示，对许多IoT设备开发人员来说，网络安全很难，因为它“不只是一件事”。

“安全不像……我已经在我使用的芯片中使用了Arm的trustzone，所以它是安全的。”他说，安全是一个系统层面的问题。“从安全引导启动，一直到最好的OTA系统，以及中间的TPM（Trusted Platform Module）技术，这些技术旨在提供基于硬件的安全相关功能。即使这样，你还需要确保它在整个生命周期内都是可更新的，并经过测试。”

许多IoT设备开发者的操作方式仍然倾向于：首先选择一块芯片，使用低成本设备（如Raspberry Pi）成功完成PoC，然后意识到缺乏安全性。Drew说：“这是因为一开始没有人真正考虑安全问题。你认为你会在之后解决安全问题，但这很困难。然后，你会面临交付产品的压力。你最终会做最低限度的安全措施，以便将产品投放市场。”

正如Foundries.io的CEO George Grey在上个月嵌入式世界大会上的主题演讲中所强调的，“安全需要从一开始就进行架构和内置，而不是在产品开发周期结束时作为一个‘附加服务’添加。”

然而，IoT设计师之间的对话正在发生改变，Drew说。从嵌入式世界大会回来后，他说很多客户主动提出了安全问题。Drew说：“他们已经看到了正在起草的EU Cybersecurity Resilience Act，他们希望进行一次对话。”

从“推动”到“吸引”

Silicon Labs的CTO Daniel Cooley也表示赞同。他解释说，网络安全问题已经从“推动”转变为“吸引”。许多客户希望谈论从一开始就建立安全性，而不是事后进行改造。

Cooley说：“如果我们正在销售两个部件，一个具有更高的安全性，价格较高，那么我们的客户现在会购买更安全的解决方案。”

促使整个行业开始不同思考的是，Cooley指出，企业们正转向“中期生命周期管理阶段，涉及所有IOT设备”。几年前，他们刚刚推出新产品。现在，“他们开始意识到，如果在设备端加强安全性，管理这些设备的生命周期要容易得多。”

Cooley说，公司必须在安全芯片中提供两个基本要素，即它“需要具有唯一识别能力（通常称为物理不可复制功能）”，并且它“需要具有可通过软件更新的架构。所以不要硬编码或不要将所有内容写入只读存储器。”

他说：“我们确实需要一颗具有硬件信任根（Roots of Trust）的芯片，具有密钥和存储功能。从那里，你可以形成经过身份验证的软件运行的基础……当代码接触云时，特别是当它从消费者那里收集数据时，我们确保它运行经过授权的代码，而不是运行别人的代码。”

Cooley表示，尽管他的客户必须构建一个SBOM，“但他们希望我们提供所有软件的完整SBOM，特别是如果有开源软件。”他补充说：“告诉我关于你的软件发布流程、持续集成持续交付、软件开发生命周期……你如何确保代码中没有后门？他们想知道很多。”

软件修订、修改和更新

许多IoT设备使用开源软件。

虽然IoT设计师熟悉Linux内核GPLV2和GPLV3许可，但Foundries.io的CTO Tyler Baker警告他们应注意其中的陷阱。GPLv3许可的软件要求用户（使用诸如恒温器、冰箱等IoT设备的用户）提供一种替换此GPLv3许可版本软件的方式，替换为他们自己选择的版本。

Tyler表示，这变成是一个网络安全问题，因为“设备安全需要‘加密锁定’，加密锁定系统以限制在平台上可以启动和执行的软件。这个过程涉及在SoC中刻录一次性保险丝，该保险丝只会执行设备制造商拥有密钥签名的软件。除其他原因外，还用于防止恶意第三方安装恶意软件。”简而言之，允许用户安装他们喜欢的软件会破坏安全模型。

Tyler指出，IoT系统设计师还应警惕为支持他们的硬件/应用对软件进行更改所带来的技术债务。“例如，如果我构建一个硬件设备，并且我希望它运行Linux，我将不得不对Linux内核（在某个特定版本上）进行修补以支持我的硬件。当下一个版本的Linux发布时，如果我想使用它，我将不得不重新处理所有针对新版本Linux内核的补丁。”

简而之，Tyler补充说：“你所做的每个更改都需要你在每个新版本上进行维护……最终变成了很多工作负荷，但收益却不大。”

没有IoT设备供应商可以保证其设备的终身安全。如果是这样，他们的声誉必须建立在他们如何警惕地监控、管理以及迅速报告和修复其产品漏洞的基础上。