重磅 | 網絡安全行業測試標準組織發布其首個《物聯網安全產品測試指南》
8月31日,網絡安全業界著名的反惡意軟件測試標準組織(Anti-Malware Testing Standards Organization,AMTSO)發布其首個《物聯網安全產品測試指南》,(Guidelines for Testing of IoT Security Products)。該指南將測試人員和供應商的意見很好地進行結合,內容涵蓋了物聯網安全產品測試的原則,為測試人員提供測試環境、樣本選擇、測試特定安全功能以及性能基準測試等方面的建議。
一、發布背景
萬物互聯時代已經到來,隨著智能硬件創業的興起,大量智能家居和可穿戴設備進入了人們的生活。根據Gartner報告預測:2020年全球IOT物聯網設備數量高達260億個。2021年,這一數字已經超過了300億大關。
預計到2025年將有超過750億臺設備連接到互聯網,連接到互聯網的設備數量呈指數增長。但是由于安全標準滯后,以及智能設備制造商缺乏安全意識和投入,物聯網已經埋下極大隱患,是個人隱私、企業信息安全甚至國家關鍵基礎設施的頭號安全威脅。試想一下,無論家用或企業級的互連設備甚至到國家關鍵基礎設施,如接入互聯網的交通指示燈,恒溫器,或醫用監控設備,國家電網、交通等遭到攻擊,后果都將非常可怕。基于此背景,國際反惡意軟件測試標準組織(AMTSO),(其會員由60多家全球頂級信息安全廠商和知名檢測機構組成),為推動物聯網安全產品獨立的基準測試和認證工作,發布其首個《物聯網安全產品測試指南》,在全球范圍內促進威脅情報共享。
二、針對物聯網的攻擊威脅進行分類
《物聯網安全產品測試指南》中,針對物聯網的攻擊進行了區分,主要包括入侵攻擊、出口攻擊以及網絡內攻擊,它們可以單獨或組合使用。
入侵攻擊是在受安全產品保護的局域網(LAN)外圍發起的攻擊。這些攻擊可能是:攻擊者執行的主動掃描;對可通過互聯網訪問的管理或/和其他服務或接口進行暴力攻擊;攻擊者通過互聯網主動執行的攻擊,目的是訪問受安全產品保護的本地網絡中的設備。盡管攻擊具有“入侵”性質,但安全產品可以使用以出口為重點的防護措施來保護網絡,這一點至關重要。指南指出,測試人員應額外考慮這種行為:例如,在物聯網世界中,攻擊者通常直接或通過其他受感染的設備執行命令注入,這會將此類攻擊歸類為“入侵”。測試者必須考慮所有攻擊階段,并根據實際表現進行評分。
出口攻擊是由受安全產品保護的局域網邊界內的設備發起的攻擊。攻擊可能源自另一種類型的攻擊,或不同類型攻擊的單獨階段。例如:“遠程代碼執行”攻擊,用于將腳本或惡意二進制文件下載到受攻擊的設備上。另一種常見的出口攻擊類型是掃描其他目標以在未來進行攻擊,或者將受感染的設備用作DDoS攻擊的一部分。
網絡內攻擊是安全產品保護的局域網邊界內“橫向移動”的例子,比如攻擊源自邊界內的設備,而目標是同一網絡中的另一臺設備。應該注意的是,對于一般的購物/辦公應用程序來說,網絡內檢測是極其困難和昂貴的。
三、物聯網安全產品測試六大準則
(1) 測試遵循“結果相同,無差異評分”的一般原則
所有測試和基準測試都應關注于驗證所交付給用戶的最終結果和性能,而不是產品在后端的運行方式。例如,使用MUD(Manufacturer Usage Descriptions)技術保護網絡的設備不應該與使用ML(Machine Learning)的設備得分不同,假設它們的性能和行為是相同的。因此,指南建議,只要結果相同,就不應在使用機器學習或制造商使用說明的產品之間進行評級差異。
(2) 威脅樣本選擇可根據目標設備的操作系統類型、CPU架構的不同進行區分
該指南為針對物聯網安全解決方案基準測試選擇正確樣本的挑戰提供了指導。指南建議,理想情況下,威脅樣本可以分為工業和非工業,進一步根據針對的操作系統、CPU架構和嚴重性評分進行分類。
物聯網設備通常不運行Windows系統,因此選擇明確針對物聯網設備或通用Linux設備的惡意軟件樣本至關重要。還可通過MIPS、MIPSEL、ARM等物聯網設備常用的CPU架構進一步過濾。另一方面,一些威脅可能針對基于Windows的物聯網設備甚至某些工業設備,因此根據DUT(Device Under Test)原則,設置和方法,所有變量都需要考慮在內。在理想并資源密集的測試場景中,所有樣本都將分為工業和非工業樣本,并進一步根據威脅的目標設備的操作系統和CPU架構以及威脅的嚴重性評分的不同而進行區分。測試人員應牢記測試的范圍,適當地選擇樣品,同時考慮到被測產品的保護范圍。特定情況下,使用更廣泛的威脅樣本,針對更廣泛的環境進行額外的測試可能有價值。
(3) 確定檢測到威脅后采取的措施有別于傳統網絡安全產品
在檢測和采取的措施方面,物聯網安全解決方案與傳統網絡安全產品的工作方式大不相同,例如,一些傳統網絡安全產品解決方案是簡單地檢測和阻止威脅而不通知用戶。該指南建議將威脅與可由測試人員控制的管理控制臺一起使用,或者使用在進行攻擊時可以看到攻擊的設備。如不可行,則可以對“被攻擊”的設備進行網絡嗅探,以便從網絡角度確定攻擊。后一種方法可以擴展到網絡中受安全產品保護的所有設備。
(4) 用替代品來模仿真實的物聯網設備以測試攻擊
在理想情況下,所有測試和基準測試都將在使用真實設備的可控環境中執行。但是,設置可能很復雜,并且較難實現。如果測試人員不能在測試環境中使用真實設備,建議他們通過在禁用安全設備的安全功能的情況下運行所需的場景并檢查攻擊執行來驗證他們的方法。該指南建議就使用Raspberry Pi等替代品來模仿真實的物聯網設備,以測試從未見過的惡意軟件的攻擊。
當無法在“受攻擊”模擬/基準測試中使用真實的物聯網設備時,替代品應盡可能模仿真實設備。指南提供了一種理想的方法是使用廉價的通用計算機,如Raspberry Pi,并通過安裝相關服務(如模仿物聯網IP攝像頭時的RTSP服務器)和更改配置(如MAC地址、主機名、網絡配置)。通過這樣做,設備的網絡探測指紋(Nmap)及其運行服務應該模仿真實設備。測試人員應在其測試報告中反映模擬設備的使用情況,并驗證威脅樣本是否可以在沒有安全解決方案的情況下對模擬設備進行攻擊。
(5) 特定安全功能的測試可分階段單獨測試
由于對物聯網設備的攻擊通常具有多個階段,因此可以單獨測試每個階段,而不是同時進行整個攻擊。在整個產品測試中,重要的是平衡“階段”測試和完整的端到端場景,并在測試報告中反映這些選擇。該指南包含針對不同攻擊階段的建議,包括偵察、初始訪問和執行。他們概述了單獨測試每個階段與同時經歷整個攻擊的可能性。
一般攻擊的第一步都是偵察,在物聯網世界中,此類攻擊通常采用掃描開放端口和/或服務的形式。通常可通過安全產品中的功能來進行防護,例如高級入侵阻止列表、主動掃描并預警,甚至自動重新配置違規設備。實驗室環境內的測試可以包括從廣域網側主動掃描設備,或甚至欺騙已知攻擊的IP,并使用這些IP從廣域網側掃描網絡。初始訪問防護基準應側重于專門針對物聯網設備的攻擊載體,無論是命令注入、特定服務中的漏洞,還是遠程代碼/命令執行(RCE)漏洞。執行預防旨在防止攻擊者獲得初始訪問權限后的攻擊階段的一組措施。此類攻擊可能包括其他惡意軟件的下載階段、C2通信、DDoS攻擊等。
(6) 性能基準測試建議區分各種用例情況
《物聯網安全產品測試指南》還提供了有關性能基準測試的注意事項,建議區分各種用例。例如消費者與企業,延遲的嚴重性或每個協議的吞吐量降低要求,這取決于其目的。
由于物聯網安全產品通常在網絡層面運行,因此必須考慮對用戶體驗的影響,這主要是體現在增加延遲或/和降低吞吐量方面。網絡基準測試是一個復雜的話題,已經存在很多可用的信息和方法,因此它超出了物聯網安全測試指南的范圍。但仍有一些測試人員需要牢記的建議:在對產品的性能進行基準測試時,考慮客戶用例是非常重要的。例如,入門級安全解決方案的吞吐量期望值將不同于中小企業解決方案。在每個協議的基礎上考慮增加的延遲也是非常重要的;例如,安全超文本傳輸協議/超文本傳輸協議(HTTPS/HTTP)流量對于實時視頻傳輸可能是關鍵的,但是對于交互式郵件存取(IMAP)協議增加幾秒鐘的延遲通常不是非常關鍵的。
四、幾點認識
(1) 可視為物聯網安全產品領域標準的起點
面對連接到互聯網的設備數量呈指數增長而引發的物聯網安全問題,在最近兩年美國國家標準與技術研究院(NIST)就連續制定了NISTIR8259系列(適用于物聯網設備制造商)和SP800-213系列(適用于聯邦機構)的網絡安全指南。NISTIR8259系列為物聯網設備的制造提供了安全控制的方向與指引,SP800-213系列為美國聯邦機構部署物聯網設備的工作提供網絡安全指導。但就目前來看。還沒有太多的信息和指導來測試物聯網安全產品,因此《物聯網安全產品測試指南》的發布在此領域無疑是一個很新的指導方針,是一個很好的起點。
(2) 數據接口的安全性需要測試人員重點關注
物聯網的核心是能夠從一個端點向另一個端點進行有效和無縫的數據交換。因此,理解和評估各種設備之間的交互連接方式,以及數據交換是否安全,則顯得非常重要。只要在整個通信鏈路的某處發生了漏洞,都將導致數據的泄漏,并引起各種后續問題。另外,密切注視物聯網范圍內的任何異常行為或活動也是至關重要的。因為在設備系統內部,任何數據的流轉都可能會被別有用心的黑客所利用。所以,安全測試人員要保持高度警惕,徹底并持續地監控各個數據接口的安全性。
(3) 沒有一勞永逸的安全準則,有效性有待考證
物聯網安全產品的測試與傳統網絡安全產品的測試完全不同,因為物聯網安全產品需要保護企業和家庭中各種不同的智能設備,因此測試環境的設置更具有挑戰性。此外,由于智能設備大多主要在Linux上運行,因此測試人員必須使用這些設備容易受到攻擊的特定威脅樣本,以便使其評估具有相關性。通過該指南的指導,解決了這些特殊性,為公平的物聯網安全產品測試設定方向。同時也應看到,指南給出指導建議不是一個全面的安全準則,也不應該當作為一個全面的準則來看待,新指南標準在實踐中的有效性還有待觀察。
