重磅 | 网络安全行业测试标准组织发布其首个《物联网安全产品测试指南》

8月31日,网络安全业界著名的反恶意软件测试标准组织(Anti-Malware Testing Standards Organization,AMTSO)发布其首个《物联网安全产品测试指南》,(Guidelines for Testing of IoT Security Products)。该指南将测试人员和供应商的意见很好地进行结合,内容涵盖了物联网安全产品测试的原则,为测试人员提供测试环境、样本选择、测试特定安全功能以及性能基准测试等方面的建议。

一、发布背景

万物互联时代已经到来,随着智能硬件创业的兴起,大量智能家居和可穿戴设备进入了人们的生活。根据Gartner报告预测:2020年全球IOT物联网设备数量高达260亿个。2021年,这一数字已经超过了300亿大关。预计到2025年将有超过750亿台设备连接到互联网,连接到互联网的设备数量呈指数增长。但是由于安全标准滞后,以及智能设备制造商缺乏安全意识和投入,物联网已经埋下极大隐患,是个人隐私、企业信息安全甚至国家关键基础设施的头号安全威胁。试想一下,无论家用或企业级的互连设备甚至到国家关键基础设施,如接入互联网的交通指示灯,恒温器,或医用监控设备,国家电网、交通等遭到攻击,后果都将非常可怕。基于此背景,国际反恶意软件测试标准组织(AMTSO),(其会员由60多家全球顶级信息安全厂商和知名检测机构组成),为推动物联网安全产品独立的基准测试和认证工作,发布其首个《物联网安全产品测试指南》,在全球范围内促进威胁情报共享。

二、针对物联网的攻击威胁进行分类

《物联网安全产品测试指南》中,针对物联网的攻击进行了区分,主要包括入侵攻击、出口攻击以及网络内攻击,它们可以单独或组合使用。入侵攻击是在受安全产品保护的局域网(LAN)外围发起的攻击。这些攻击可能是:攻击者执行的主动扫描;对可通过互联网访问的管理或/和其他服务或接口进行暴力攻击;攻击者通过互联网主动执行的攻击,目的是访问受安全产品保护的本地网络中的设备。尽管攻击具有“入侵”性质,但安全产品可以使用以出口为重点的防护措施来保护网络,这一点至关重要。指南指出,测试人员应额外考虑这种行为:例如,在物联网世界中,攻击者通常直接或通过其他受感染的设备执行命令注入,这会将此类攻击归类为“入侵”。测试者必须考虑所有攻击阶段,并根据实际表现进行评分。出口攻击是由受安全产品保护的局域网边界内的设备发起的攻击。攻击可能源自另一种类型的攻击,或不同类型攻击的单独阶段。例如:“远程代码执行”攻击,用于将脚本或恶意二进制文件下载到受攻击的设备上。另一种常见的出口攻击类型是扫描其他目标以在未来进行攻击,或者将受感染的设备用作DDoS攻击的一部分。网络内攻击是安全产品保护的局域网边界内“横向移动”的例子,比如攻击源自边界内的设备,而目标是同一网络中的另一台设备。应该注意的是,对于一般的购物/办公应用程序来说,网络内检测是极其困难和昂贵的。

三、物联网安全产品测试六大准则

(1) 测试遵循“结果相同,无差异评分”的一般原则

所有测试和基准测试都应关注于验证所交付给用户的最终结果和性能,而不是产品在后端的运行方式。例如,使用MUD(Manufacturer Usage Descriptions)技术保护网络的设备不应该与使用ML(Machine Learning)的设备得分不同,假设它们的性能和行为是相同的。因此,指南建议,只要结果相同,就不应在使用机器学习或制造商使用说明的产品之间进行评级差异。

(2) 威胁样本选择可根据目标设备的操作系统类型、CPU架构的不同进行区分

该指南为针对物联网安全解决方案基准测试选择正确样本的挑战提供了指导。指南建议,理想情况下,威胁样本可以分为工业和非工业,进一步根据针对的操作系统、CPU架构和严重性评分进行分类。物联网设备通常不运行Windows系统,因此选择明确针对物联网设备或通用Linux设备的恶意软件样本至关重要。还可通过MIPS、MIPSEL、ARM等物联网设备常用的CPU架构进一步过滤。另一方面,一些威胁可能针对基于Windows的物联网设备甚至某些工业设备,因此根据DUT(Device Under Test)原则,设置和方法,所有变量都需要考虑在内。在理想并资源密集的测试场景中,所有样本都将分为工业和非工业样本,并进一步根据威胁的目标设备的操作系统和CPU架构以及威胁的严重性评分的不同而进行区分。测试人员应牢记测试的范围,适当地选择样品,同时考虑到被测产品的保护范围。特定情况下,使用更广泛的威胁样本,针对更广泛的环境进行额外的测试可能有价值。

(3) 确定检测到威胁后采取的措施有别于传统网络安全产品

在检测和采取的措施方面,物联网安全解决方案与传统网络安全产品的工作方式大不相同,例如,一些传统网络安全产品解决方案是简单地检测和阻止威胁而不通知用户。该指南建议将威胁与可由测试人员控制的管理控制台一起使用,或者使用在进行攻击时可以看到攻击的设备。如不可行,则可以对“被攻击”的设备进行网络嗅探,以便从网络角度确定攻击。后一种方法可以扩展到网络中受安全产品保护的所有设备。

(4) 用替代品来模仿真实的物联网设备以测试攻击

在理想情况下,所有测试和基准测试都将在使用真实设备的可控环境中执行。但是,设置可能很复杂,并且较难实现。如果测试人员不能在测试环境中使用真实设备,建议他们通过在禁用安全设备的安全功能的情况下运行所需的场景并检查攻击执行来验证他们的方法。该指南建议就使用Raspberry Pi等替代品来模仿真实的物联网设备,以测试从未见过的恶意软件的攻击。当无法在“受攻击”模拟/基准测试中使用真实的物联网设备时,替代品应尽可能模仿真实设备。指南提供了一种理想的方法是使用廉价的通用计算机,如Raspberry Pi,并通过安装相关服务(如模仿物联网IP摄像头时的RTSP服务器)和更改配置(如MAC地址、主机名、网络配置)。通过这样做,设备的网络探测指纹(Nmap)及其运行服务应该模仿真实设备。测试人员应在其测试报告中反映模拟设备的使用情况,并验证威胁样本是否可以在没有安全解决方案的情况下对模拟设备进行攻击。

(5) 特定安全功能的测试可分阶段单独测试

由于对物联网设备的攻击通常具有多个阶段,因此可以单独测试每个阶段,而不是同时进行整个攻击。在整个产品测试中,重要的是平衡“阶段”测试和完整的端到端场景,并在测试报告中反映这些选择。该指南包含针对不同攻击阶段的建议,包括侦察、初始访问和执行。他们概述了单独测试每个阶段与同时经历整个攻击的可能性。一般攻击的第一步都是侦察,在物联网世界中,此类攻击通常采用扫描开放端口和/或服务的形式。通常可通过安全产品中的功能来进行防护,例如高级入侵阻止列表、主动扫描并预警,甚至自动重新配置违规设备。实验室环境内的测试可以包括从广域网侧主动扫描设备,或甚至欺骗已知攻击的IP,并使用这些IP从广域网侧扫描网络。初始访问防护基准应侧重于专门针对物联网设备的攻击载体,无论是命令注入、特定服务中的漏洞,还是远程代码/命令执行(RCE)漏洞。执行预防旨在防止攻击者获得初始访问权限后的攻击阶段的一组措施。此类攻击可能包括其他恶意软件的下载阶段、C2通信、DDoS攻击等。

(6) 性能基准测试建议区分各种用例情况

《物联网安全产品测试指南》还提供了有关性能基准测试的注意事项,建议区分各种用例。例如消费者与企业,延迟的严重性或每个协议的吞吐量降低要求,这取决于其目的。由于物联网安全产品通常在网络层面运行,因此必须考虑对用户体验的影响,这主要是体现在增加延迟或/和降低吞吐量方面。网络基准测试是一个复杂的话题,已经存在很多可用的信息和方法,因此它超出了物联网安全测试指南的范围。但仍有一些测试人员需要牢记的建议:在对产品的性能进行基准测试时,考虑客户用例是非常重要的。例如,入门级安全解决方案的吞吐量期望值将不同于中小企业解决方案。在每个协议的基础上考虑增加的延迟也是非常重要的;例如,安全超文本传输协议/超文本传输协议(HTTPS/HTTP)流量对于实时视频传输可能是关键的,但是对于交互式邮件存取(IMAP)协议增加几秒钟的延迟通常不是非常关键的。

四、几点认识

(1) 可视为物联网安全产品领域标准的起点

面对连接到互联网的设备数量呈指数增长而引发的物联网安全问题,在最近两年美国国家标准与技术研究院(NIST)就连续制定了NISTIR8259系列(适用于物联网设备制造商)和SP800-213系列(适用于联邦机构)的网络安全指南。NISTIR8259系列为物联网设备的制造提供了安全控制的方向与指引,SP800-213系列为美国联邦机构部署物联网设备的工作提供网络安全指导。但就目前来看。还没有太多的信息和指导来测试物联网安全产品,因此《物联网安全产品测试指南》的发布在此领域无疑是一个很新的指导方针,是一个很好的起点。

(2) 数据接口的安全性需要测试人员重点关注

物联网的核心是能够从一个端点向另一个端点进行有效和无缝的数据交换。因此,理解和评估各种设备之间的交互连接方式,以及数据交换是否安全,则显得非常重要。只要在整个通信链路的某处发生了漏洞,都将导致数据的泄漏,并引起各种后续问题。另外,密切注视物联网范围内的任何异常行为或活动也是至关重要的。因为在设备系统内部,任何数据的流转都可能会被别有用心的黑客所利用。所以,安全测试人员要保持高度警惕,彻底并持续地监控各个数据接口的安全性。

(3) 没有一劳永逸的安全准则,有效性有待考证

物联网安全产品的测试与传统网络安全产品的测试完全不同,因为物联网安全产品需要保护企业和家庭中各种不同的智能设备,因此测试环境的设置更具有挑战性。此外,由于智能设备大多主要在Linux上运行,因此测试人员必须使用这些设备容易受到攻击的特定威胁样本,以便使其评估具有相关性。通过该指南的指导,解决了这些特殊性,为公平的物联网安全产品测试设定方向。同时也应看到,指南给出指导建议不是一个全面的安全准则,也不应该当作为一个全面的准则来看待,新指南标准在实践中的有效性还有待观察。

—-数据来源:信息安全与通信保密杂志社