原文首发于公号“360 IoT安全”(https://mp.weixin.qq.com/s/dz-nImpzzMasdwCFlnfPBA)
天空一样的水波
把工业完成一个精致的指环
用水波的光点 缀合
钻石的闪烁
无锡就是一枚戒指
荣耀从体内升起
套在手指上
自此取不下来
这首诗来自王学芯,一位生在北京长在无锡的诗人。我从太湖饭店房间里的桌上看到这本诗集,就挑选了这一首。
这个周末,是无锡的世界物联网博览会召开的时间,应邀过来参加“物联网信息安全高峰论坛”,暨第十二届信息安全漏洞分析与风险评估大会。整个无锡以太湖国际博览中心为主场馆,在周边的各酒店会场,召开着数不清的峰会和论坛[1]。无锡,给人的印象就像开头的诗写的一样,非常非常努力的生长,尽全力让自己光芒四射。
无锡滨湖区一个车联网先导区智能公交站
无锡物联网博览会展会现场
本届物联网博览会我感受到的两大热点是5G和车联网。这两项技术都是今年得到了真正落地应用。今年是物联网博览会的第四届,第一届于2016年召开。但这两天我看媒体的报道,用词是“十年深耕,世界物联网发展看无锡”[2]。所以,无锡在物联网产业上的努力,是从2009年算起。十年,坚守初心,锲而不舍。这些年,整个产业经历了很多次:风要来了;风没吹起来;这回风真的要吹起来了;还是进步缓慢……
其实对于360而言,关注物联网安全也有很长的时间了。我们很早就开始研究各种IoT设备的漏洞:路由器、手环、洗衣机,大到特斯拉汽车,还有工业控制器等等。
极具个性的自媒体“浅黑科技”,以前有一篇文章讲老周的IMABCDE。有一段写得我非常认同,所以恕我直接引用一下。
有个典故叫“上医治未病”,讲扁鹊的大哥比扁鹊的医术厉害很多,人还没出现生病迹象就能治好,故曰“上医治未病”;扁鹊反过来,总是要等到病人快死了才来治,故曰“下医治已病”。最后结果很讽刺,扁鹊很出名,在“商业世界”大获成功,而他的哥哥却籍籍无名。做安全某种意义上有点像治病。PC时代,360的最大成功发生在一个“乱世”,当时病毒肆虐,恶意软件满天飞,360 像赵子龙一样冲出来,为小白用户们“护驾”,因而被人记住。如今 IoT 问题在人们的认知中还没有彻底爆发,360 就开始“治未病”,那么,他是会像扁鹊那样名满天下,取得商业上的成功,还是像扁鹊他大哥那样籍籍无名?不一定。
谢幺谢幺,公众号:浅黑科技 周鸿祎有本难念的经
老周最近讲网络战比较多,做安全有点像做军人、警察、保安,但其实也有点像做医生。
军人:发现了敌人的漏洞,狠狠的打!
警察:你这条不合规啊,扣3分罚两百块。
保安:老板,这边我都检查过了,你放心吧。老板:你得确保万无一失啊,出事唯你是问!
医生:你体检这个指标不好呢,XX病的风险很高,要不要吃点药调整一下?病人:我觉得我状态挺好的,没事,等真的发病了再说呗
我们团队今年以来,尝试了一个名为‘Dr.IoT’的服务,是给IoT设备做安全测评的,就像一个医生,专门给IoT设备做体检,发现IoT设备中的漏洞、潜在风险。
做安全审计虽然有很多自动化的工具,但仍然是一个需要大量人力介入的工作。就像医生,虽然有各种血常规检查,有CT,甚至还有基因检测技术,可以辅助检查,但仍然需要医生综合考虑病人的病情、个人诉求、经济实力,来给出个性化的诊疗方案。
举个例子,安吉丽娜·朱莉有基因缺陷,医生预计她原本患乳腺癌的风险为87%,患卵巢癌的风险达50%,因此她决定实施“双侧乳腺切除术”。如果换一个人,如果她还有生育哺乳计划,又或者难以承担昂贵的手术费用,那么显然不会实施这样的预防性手术。
类比安全领域的一个例子,大家都知道短信验证码有安全风险,但我们没法彻底不使用短信验证码。对一些对安全性要求很高的应用,比如网银中的大额转账,就会避免使用脆弱的短信验证码,转而使用U盾类的身份认证工具。
在IoT安全领域,不同类型的设备,系统设计方案差别非常大。这一点跟传统的操作系统安全,以及Web安全有比较大的差别。一个智能开关,使用非常低级的处理器,运行简单的系统;而一个路由器,使用能力强大的ARM处理器,运行高级的Linux操作系统。这种差别比医院里儿科与妇科之间的差别还要大,相当于宠物医院里蜥蜴和小狗去看病吧。一般的宠物医院是没有爬行动物科的哦。
我们对IoT产品做完安全测评之后,会给出一个‘体检报告’。但这个测试报告并不是一种认证。对于IoT的安全认证,有一些机构和公司是有相关的业务的,这些认证有些是‘准入’性质的。
中国泰尔实验室,有网络设备安全检测服务,发放安全检测证书,例如路由器安全检测证书[3]
中国信息安全测评中心[4],有信息安全产品认定测评,发放CNITSEC证书
公安部一所检测中心[5],具备按照相应的国家标准、行业标准、地方标准及IEC、EN、UL等国际标准开展相关测试服务工作的能力。有对安防监控系统,防盗报警系统,门锁等设备有测试服务业务。
阿里云物联网测试认证服务[6],提供端到端的完整物联网产品软硬测试能力,侧重于可靠性、兼容性测试,发放Ali-C-xxxxx证书
我们也经常与这些机构和友商们对安全测评做沟通交流。由于IoT产品品类众多,应用场景非常多样,对某一个产品或业务,很难找到一个标准来套用。
举个智能门锁的例子。目前智能门锁有关的国家标准和行业标准很多,有公安部的、住建部的、工信部的,还有一些行业协会形式的。可能最新最权威的还是公安部今年更新的,《电子防盗锁》(GA374-2019)。
今年7月云丁门锁刚刚通过公安部标准测试
8月消协就批评了38款智能门锁
这38款门锁中就有云丁的鹿客门锁,当然也有我们360门锁。没有一款‘完全合格’。可见要满足各种各样的测试标准,是不太现实的。
在我们实际的测评中,也遇到测评标准难以把握的情况。我们的一个客户咚咚门锁,他们的锁主要面向校园宿舍这个场景。同样是智能门锁,家庭场景担心的是门锁被小偷打开。而学校宿舍场景,一般宿舍楼的门口就有一道门禁,门卫值守,或者摄像头监控等等。学生宿舍门可能很多时候是处于常开的状态。学校关心的是学生有没有晚归,考虑的是宿舍门禁管理是否方便。从信息安全的角度来说,后端服务器中学校师生的信息可能是更重要的需要保护的数据。
这个例子说明同样是智能门锁,应用的场景决定了要保护的客体的重要性和关注点不同。这里可以参考等保2.0 [7],评估不同客体的安全要求。
所以,我们出了测评报告之后,会跟客户沟通。客户会说明有些隐患没有办法解决,是业务和场景需要等等。总之,要不要开药方,想用什么治疗方案,主动权在客户那里。这个医生是不是很佛系呢?
以上这些,就是我这周末在无锡,第十二届信息安全漏洞分析与风险评估大会(VARA2019)上,给大家分享的议题《IoT产品和业务风险评估的多样性和复杂性》的主要想法。
Dr.IoT的服务流程通常是:前期与客户沟通,了解业务的基本信息,整体架构,打算检测哪些方面。然后客户会把产品快递给我们,我们将产品正常运行起来,分析业务的威胁模型。比如下图是一个智能门禁系统的攻击面模型。
然后我们对各个攻击面逐个分析,能自动化检测的就使用自动化工具,比如FirmwareTotal平台。最后整理测试报告交付给客户。
这就是Dr.IoT安全测评服务,做一个“治未病”的医生,可能会像扁鹊的大哥一样籍籍无名,难以取得商业上的成功。没关系试试呗 ;P 如果您有需求,欢迎联系我们:dr.iot@360.cn
- 无锡世界物联网博览会官网
http://www.wiotexpo.cn/#richeng - 新华网报道
http://xh.xhby.net/mp3/pc/layout/201909/06/l6.html - 泰尔实验室安全检测
http://www.chinattl.com/fwzn/fwly/xxaq/201807/t20180709_189726.htm - 中国信息安全测评中心
http://www.itsec.gov.cn/cp/ - 公安部一所检测中心
http://www.fri.com.cn/jsjg/ggaqffbjjtcpzljdjyzx/ - 阿里云物联网测试认证服务
https://iot.aliyun.com/linkcertification - 《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019
https://www.tc260.org.cn/servlet/Download?path=GB&filename=2019-08-12/ab2fd140-0ea1-497c-a931-65034065cf48.doc