方 明 ,吕立昌
(1.91977部队,北京 100841;2.海军参谋部直属工作局,北京 100841)
随着技术不断渗透到现代社会中,这些系统的安全性和信任度成为一个日益重要的问题。同时,技术的发展也为针对政府机构及社会组织的攻击方法产生相应的变化,这为我们当今的网络系统安全带来严重的挑战。解决此类挑战的传统方法是对目标网络实施安全风险评估过程,包括:识别关键资产;识别系统面临的主要威胁;成功攻击的可能性以及可能造成的危害。在风险评估过程实施后,我们才可以选择适当的风险管控方法对网络系统风险进行控制。物联网系统通过一系列的智能化平台以及无处不在的数字连接来为社会服务,它不仅仅是一个网络物理系统,同时也是一个社会系统。这种无处不在的数据连接可以使得在处理时间、自动化程度上有很大差异的系统之间发生联系。然而,从安全和信任管理的角度来看,物联网面临的挑战是,现有的风险评估方法是在此之前建立的。因此,可能无法满足这些复杂、广泛存在、高自动化程度系统的风险评估需求。所以,当采用这些方法进行物联网风险评估时,可能会使我们无法识别其系统环境中出现的新风险。物联网风险分析过程可能与网络攻击有关,同时也可能与社会过程(例如,社交媒体中的病毒效应)。
在本文中我们分析了现有安全风险评估方法不适用于物联网系统的原因,并强调物联网系统急需一种合适的风险评估方法来支撑物联网系统的信任体系。只有通过调研各行各业的物联网使用情况,并积极与政府和学术界合作才能制定此类新的针对物联网的风险评估方法,只有这样,我们才能更好的应对物联网所面临的安全威胁。
风险评估通常被理解为识别,估计和优先考虑组织资产和运营风险的过程。这是风险管理中的一项关键活动,因为它为已识别的风险提供了安全分析的基础。处理风险的措施包括:考虑到组织的风险偏好,风险在可接受水平的情况下接受风险;使用安全控制措施降低风险;通过购买网络保险进行风险转移;或通过删除受影响的资产来避免风险。风险评估中有几个核心概念,例如资产,漏洞,威胁,攻击可能性,影响或网络危害。资产可以定义为任何对于组织有价值的项,并且每一种资产拥有许多不同的属性。例如,资产可以是有形的(例如,技术基础设施)或无形的(信誉或业务流程),或者它们可以是系统内的小组件或者是系统本身。漏洞是指那些可以非法获得资产的方法,我们可以设置漏洞防护工具保护资产。威胁是可能对资产产生负面影响的行为,通常涉及利用漏洞。这些行为可能是故意的(例如,窃取公司数据)或意外的(例如,成为社会工程攻击的受害者)。网络风险是这些概念的组合,并考虑威胁或成功攻击发生的可能性,以及可能导致资产的危害。
尽管已明确定义了网络安全风险评估背后的基本流程,但其子流程的实施方式仍具有合理的灵活性。这种灵活性导致了用于进行风险评估的若干不同方法。这些因素根据背景以及评估所针对的组织类型而有所不同。这些风险评估的主流方法包括:NIST SP800-30,ISO/IEC 27001,OCTAVE,CRAMM and EBIOS[1],这些方法都在组织内定期应用,以评估风险。鉴于风险评估方法的种类繁多,我们应该分别考虑这些风险评估方法的某一方面,以分析这些方法的优劣。其中两个最重要的方面是方法的性质以及它如何衡量风险;这些可以在最近的调查工作中看到[2]。就方法的性质而言,我们特别考虑这样一个事实,即某些风险评估流程以关键资产及其对资产可能发生的危害为基础。NIST方法是其中之一,因此,其第一步是识别威胁源和事件[3]。在此之后,它主张在确定风险之前确定可能被利用的漏洞以及威胁事件的相应可能性和影响。然而,诸如OCTAVE之类的其他方法强调首先识别关键资产,然后根据这些资产如何受到威胁以及威胁的结果向外构建风险评估模型[1],通过这个过程,可以了解风险。以资产为导向的方法的好处是,它确保评估过程是以关键资产为中心,而非短暂威胁为指导的,而面向威胁的方法往往更好地迎合当前的威胁形势。定性的衡量风险的方式也是一个有争议的领域。关于威胁的可能性和影响的评级,定性测量-例如,高,中,低的变化-可以在大多数流行的定性的衡量方法中找到(例如,NIST SP800-30,ISO/IEC 27001,OCTAVE)。其好处在于直观性,包括设定风险偏好,衡量风险(通过威胁可能性和影响评级的组合),以及将风险信息逐级传递。然而,定性方法的缺点是其主观性和缺乏精确性[2]。例如,一个人对威胁的看法可能不符合他人的观点。因此,人们提出了许多定量的风险评估方法来解决这一问题,这些方法的特点是引入概率来衡量风险值。虽然这些方法能够部分解决这一问题,但它们往往会引发其他重要问题。其中最常见的是分析的复杂性(容易出错并且难以与他人沟通),以及准确估计威胁事件发生概率和影响价值的准确性(缺乏足够的数据)。这些方面限制了定量分析技术的应用,并且在复杂且高度互连的系统中很少有已知的实用或成功案例。除了上面提到的区别因素之外,还有一些其他领域有助于衡量风险值的评估方法,并且适用于我们的物联网环境。文献[2]的方法适用于风险传播或依赖的程度以及如何评估组织基础设施中的各种资源以及从何种角度进行评估;并且该方法优先考虑降低已知系统风险,或将分析扩展到未来情景并根据过去的经验进行假设。
就其本质而言,物联网是一种复杂的技术范例。这种复杂性通过其各种应用(从物流和制造,到医疗保健和智能基础设施)部分地在图1中描述。
图1 物联网系统中常见的组件阵列[4]
从风险评估和信任的角度来看,物联网的动态特别令人感兴趣,原因有几个。在下文中,我们通过检查物联网的动态来补充我们的风险评估方法,这为我们在第3节中的核心论点奠定了基础。
关于物联网的第一点注意事项是设备和系统中规模的可变性。物联网的一个主要优势是它能够扩展(或缩小)规模,并适应各种新系统和“事物”,如图1所示。实际上,物联网发展的本质是在最广泛的视角上扩展我们的环境和基础设施。我们正在目睹数字功能的加入,这使得我们可以在构建世界的任何方面实现远程控制和协作,从某种意义上说,没有任何东西会超出未来的物联网。物联网的另一个特点是它的设备之间动态连接的时间性[4]。物联网设备可以松散耦合以执行某些任务并在连接完成后中断连接,或者持久的连接。鉴于对风险的影响(例如,未经授权的设备持久的连接),因此了解特定物联网所需的时间性级别非常重要。物联网风险评估的最后一个特征因素是支持这种设备连接关系的管理和控制活动所需的资源。
有限的资源将意味着物联网设备可能被迫采用有限的连接关系;或者,它们可以与云系统耦合(见图1),这也需要对风险进行评估。能够在物联网生态系统内进行交互设备之间的异质性也是一个重要特征。物联网设备通常可以跨组织访问,并且可以在线进行唯一的寻址。在允许松散耦合的情况下,可以有任何数量或类型的参与者,无论是设备,人员还是系统,与他们交互或者与他们的资产进行交互图1,这在物联网的角度来看这是理想的,但这种交互通常是允许适应任务的,正如我们将在第4节中讨论的那样,从信任的角度来看,它有许多缺点,因为这为信任管理带来了问题,参与者的异质性意味着可能形成恶意关系[5]。此外,由于某些关系可能是自发的或时间性的,因此跟踪行为不端的参与者可能具有挑战性,并且由于风险可能分布在各种设备上,因此难以确定风险的位置或传播。在物联网的讨论中经常被忽视的一个因素是绑定这些系统的基础设施,特别是那些物理网络或网络社交系统。如果我们反思物联网系统的安全性和信任策略的研究和实践状况,我们可以看到有大量的工作都集中在设备组件和接口上[5]。然而,实际情况是,这些设备绑定的过程以及允许它们耦合和操作的连接关系也是重要的考虑因素。
物联网系统的动态特性将使得使用当前的网络风险评估方法对其进行风险评估具有挑战性,如果我们要在物联网环境中实现信任,我们必须处理一些关键因素。
系统风险的定期评估通常是由于组织先前的风险评估可能不再有效而引发的。这些触发因素包括系统的重大变化、业务流程的变化、威胁情报以及发现系统新漏洞。当然,即使依据以上这些因素,我们仍然有可能对实际的风险威胁识别错误,或者我们忍受当前的风险情况不触发定期风险评估,并导致风险的发生。定期风险评估方法不适用于物联网的原因在于,由于物联网的动态性质,评估方法的周期性已经是一个明显的弱点[6]。例如,物联网系统规模的可变性意味着在定期评估之间出现新系统的可能性非常高。为了风险评估的有效性,定期风险评估需要能够预测在下一次评估之前可能出现的新系统的一些特性然而这是极具挑战性的,而且目前的方法通常不支持[6]。
风险评估目前侧重于确定存在的系统风险,到目前为止,全面了解一个网络系统的安全环境仍然是一个十分困难的问题[6]。然而即使有一种方法可以全面了解系统的安全环境,但这对于物联网来说也是不足够的,因为系统可能会很快地改变形状。即使我们能够增强当前技术以考虑潜在的变化,我们仍将面临转移系统边界的挑战。 变化的频率可能很高,以至于我们将被迫以有限的系统知识来管理风险。
对于物联网而言,风险评估策略必须实现从系统细节中抽象出风险特征的方法,以保证风险评估的正确性。风险评估策略可能面临的困难是,这最初将导致识别更多潜在风险,然而这些风险中的绝大多数都不会实现。毫无疑问,这将迫使采用威胁情报来完善这些评估。在这种情况下,我们可以使用智能威胁识别系统,一边启用运行智能威胁识别系统对物联网进行风险评估。
很明显,物联网以及构成网络环境的各种大量设备之间将创建大量连接。这些连接不仅能够实现网络通信的基础设施,而且还有物联网的许多优势,比如:更好的信息,更强的环境意识以及更快地采取更高质量行动的能力。我们需要认识到这样一个事实,即这种基础设施不仅在协议和通信标准中被制定,而且它也在系统的每个参与者中运行。物联网的参与者如何处理他们收到的数据,以及他们如何响应和采取行动,这些参与者本身的行为将对系统产生影响,而这些影响将是其他物联网参与者的输入。如果可以预测这些不同层次参与者以及他们的行为是如何传递的,那么人们可以设法利用这些参与者的行为用于恶意的目的。不幸的是,没有现有的风险评估实践试图考虑到这种情况。
当前风险评估方法不适用于物联网的一个关键因素是网络资产只被视为有价值的实体(因此受到保护)而并未将资产视为攻击平台。举个例子,当一个公司收购一些资产时,他们会对这些资产进行评估,以避免由于这些收购的资产可能产生的监管风险。如果这种风险出现并让利益相关者了解,一些组织也可能寻求增加公司的无形成本。我们特别在物联网环境中提出这一点,因为物联网环境将许多新设备和参与者带入组织系统。而这些参与者或设备可能会受到攻击并成为分布式网络攻击的武器。这种观点是对内部威胁等问题的延伸,也是对物联网风险评估提出了若干独特挑战[7]。
表1 当前风险评估方法不足以支持物联网的原因摘要
目前,对于国家或公司中的关键基础设施的风险评估方法依然是以物理网络或社会系统的风险评估方法为基础的。虽然这些已知的方法在现有的环境背景下可以很好的应用[6],但随着系统复杂性和自动化程度的提高,在我们未来所使用的物联网中,这些风险评估方法将越来越多的展现他们的缺陷和不足。物联网系统面临的风险评估的挑战是:现有风险评估方法所采用的定期风险评估流程在高度动态系统面前可能无效。对于变换频率如此高的物联网系统而言,现有的网络风险评估方法显得太过笨重。当前的方法通常固有地假定一个系统及其如何受到攻击,以及与所涉资产相关的潜在风险。这中固有的风险评估视角无法揭示物联网系统的风险。此外,该领域正在迅速变化,但我们的风险评估实践并未跟上步伐:未将资产视为潜在的攻击平台就是一个很好的例子。因此,我们需要自动化和实时的风险评估方法,以及开发新的支持工具,来协助模拟和建模,以提高我们的预测能力。这些将从现有的自动化技术(例如文献[2])和相互依赖系统中的风险分析研究中获得灵感。核心目标是适应所有物联网动态变更。例如,新方法需要考虑关系的潜在可变性,并且有些参与者可能变得高度可信或极不可信,并且参与者可能改变围绕它的风险控制行为。绑定物联网系统及其参与者的基础设施将提供风险传播机制,并在物理,社交和经济规模上创造伤害。因此,物联网参与者或设备如果改变用途,可能造成远远超出预期的危害。在新的风险评估方法中也需要考虑到这一点:由 于物联网环境会频繁的发生巨大的变化,我们无法定期评估系统。因此,我们需要一种动态、实时的风险评估方法。我们希望可以通过行业和研究之间的密切合作来创建这样一种方法。