对自动化物联网安全威胁/风险分析和合规性的研究

风险管理是一项永无止境的任务。安全工程师必须不断评估威胁、漏洞和风险，以满足合规要求并领先于攻击者。分析师必须能够分析几乎每天的漏洞报告并计算它们对系统的影响。这可能导致过度工作和疲劳，因为漏洞报告永远不会停止。自动化对于帮助组织理解威胁情报数据、动态更新策略和实现系统内的持续合规性至关重要。机器可读性是启用自动化威胁和风险分析流程所必需的。

本文研究了当今可用的一些自动化威胁和漏洞管理选项，并讨论了如何调整这些方法以实现物联网安全和维护近乎实时的合规性和风险状态视图的目标。之前的一篇文章更广泛地讨论了对帮助开发人员更有效地在物联网产品中构建安全性的工具的需求。

为了实现物联网部署的自动化风险管理，分析系统从众多不同来源获取数据并自动分析该数据以清晰地描绘最新风险。理想情况下，数据源包括物联网产品本身，这些产品应设计为报告设备软件和硬件组成以及第三方或开源组件。安全运营团队运行的固件分析工具扫描最新部署的固件并报告弱点。威胁情报源为威胁提供上下文，包括攻击者配置文件和能力。所有这些数据都应该以机器可读的格式提供，以便可以将其提供给经过训练的机器学习算法，以计算每个设备的风险概况。维护每种设备的持续更新的风险概况为分析安全权衡决策提供了坚实的基础。图 1 显示了用于自动和持续威胁和风险分析的框架。

图 1：数据收集为自动化风险分析提供依据（来源：VDOO）

可以自动化的首批领域之一是威胁情报共享。威胁情报提供有关最新攻击者配置文件和与危害指标 ( IoC ) 相关的上下文的持续数据。今天，有许多可用的自动化威胁情报共享工具。结构化威胁信息表达(STIX) 就是一个例子。STIX 由 MITRE 和 OASIS 创建，允许共享威胁信息，包括动机、能力和建议的响应。STIX 还提供与受损指标相关的数据以及在受损时采取的适当响应/行动方案。STIX 2.0 可从 OASIS 获得，旨在作为独立的共享标准或与可信的自动情报信息交换 (TAXII) 规范一起工作。

TAXII也由 OASIS 定义。TAXII 是一个基于 REST 的 API，通过 HTTPS 运行。该规范定义了如何共享标准化的威胁情报信息。可以使用基本的发布/订阅模型配置通道，允许生产者与消费者共享威胁情报数据。在物联网模型中，支持设备产品的云安全服务将充当威胁情报数据的消费者，使服务能够自主评估与设备相关的最新威胁环境。定义了三个服务：

发现服务允许对等方/订户了解支持的服务。

集合管理服务允许订阅数据集合。

收件箱服务允许节点接收内容，而轮询服务指定如何请求内容。

TAXII 中定义了三种共享模型：Hub and Spoke、Source/Subscriber 和 Peer to Peer。

STIX 和 TAXII 都是机器可读的。将此类服务设计为机器可读是启用自动分析和响应最新威胁的先决条件。这些威胁情报源提供了有用的信息，但必须在与物联网产品相关的独特漏洞的背景下进行分析——为此，需要额外的数据源。例如，必须提供最新的安全咨询数据。机器可读的漏洞源允许物联网安全服务在上下文中分析威胁，为其产品提出真正基于风险的评分模型。例如，Cisco 定义了OpenVuln API以实现其思科特定安全建议的自动化。安全内容自动化协议 (SCAP) 为机器提供与供应商无关的能力来使用 CVE 数据。SCAP 已经存在十多年了，它提供了已知安全漏洞、软件配置问题和相关产品名称的列表。

产品漏洞信息必须延伸到产品中使用的组件。开源软件 (OSS) 和第三方库在物联网产品中发挥着至关重要的作用。客户组织必须能够在部署的物联网产品中识别这些库，以准确计算风险。为了解决这个问题，美国国家电信行业协会 (NTIA) 正在开展软件组件透明度计划，该计划将产生机器可读的软件材料清单 (SBOM)。

SBOM 将使客户组织能够查询产品中使用的库和组件，并在自动分析程序中使用数据。这支持轻松识别必须修补的易受攻击的组件，并允许开发 API 在产品生命周期内跟踪这些组件的状态。然而，物联网产品供应商需要时间来开始整合这一新功能。

在此期间，安全运营团队可以使用VDOO Vision ™ 等工具来扫描连接到网络的物联网产品，报告漏洞并清点其物联网设备中存在的所有第三方库。此信息用于更准确地计算风险并确定必须快速部署哪些特定库补丁。VDOO 的嵌入式运行时代理 ( ERA™ ) 等工具) 甚至可以在物联网产品上快速编译，以比开发人员修补所需要的速度更快地缓解已识别的固件风险，从而为安全运营团队提供了一种平衡的缓解方法。ERA 支持 Linux 和 Android，并在 MIPS、ARM 和 X86_64 架构上运行。它旨在最大限度地减少对设备要求的影响，例如代码大小、延迟。例如，ERA 仅引入了 1MB 的存储开销和不到典型 IoT CPU 开销的 1%。安全工程师会根据 VDOO Vision 扫描结果了解量身定制的 ERA 保护措施。

安全运营团队应开始为其物联网部署设计自动化风险管理流程。例如，在国防部 (DoD) 中，网络安全领导者已开始在其持续合规计划的成功基础上，开始启用更全面的自动化风险管理计划。安全团队可以通过评估多个数据馈送来自动量化风险，从而更好地了解漏洞的上下文，而不是简单地计算证明部署遵守一组政策或法规的合规性记分卡。这需要全面了解系统中当前的漏洞以及威胁的影响和可能性。

所有这些自动数据馈送都可以让产品安全工程师开始考虑对最新风险的自动响应。我们可以查看云防火墙行业的威胁信息自动响应示例。今天的云防火墙集成了 API，这些 API 可以根据最新的威胁情报（例如已知的恶意 IP 地址或 DNS 记录）自动修改规则。

物联网产品应该开始在设备和云服务级别整合基本的安全自动化功能，允许在发现新威胁或威胁的可能性或影响增加时更新策略和规则集。NIST 的国家网络安全卓越中心 (NCCOE) 等组织也在定义新的方法，例如制造商使用描述MUD，允许在云中生成和存储设备配置文件。这些配置文件向生态系统发出设备的有效通信配置文件的信号。使用这种方法，物联网设备配置文件可以为物联网部署的自动化风险分析提供额外的输入。

随着行业在启用自动化风险管理技术方面不断取得进展，物联网产品供应商应采用这些功能来支持其客户快速评估风险和自动部署缓解措施的能力。

审核编辑 黄昊宇