面向物聯(lián)網(wǎng)自動(dòng)化滲透測(cè)試的威脅攻擊研究

摘? 要：物聯(lián)網(wǎng)即“萬(wàn)物相連的互聯(lián)網(wǎng)”，是利用互聯(lián)網(wǎng)延伸與擴(kuò)展，實(shí)現(xiàn)頻射識(shí)別、紅外感應(yīng)、全球定位系統(tǒng)、激光掃描器等設(shè)備的互聯(lián)通信。物聯(lián)網(wǎng)體系結(jié)構(gòu)復(fù)雜，各組件安全問(wèn)題突出，傳統(tǒng)人工測(cè)評(píng)方式難以適用。目前，以攻擊者視角來(lái)研究如何整體評(píng)估物聯(lián)網(wǎng)生態(tài)安全的報(bào)道較少。文章以威脅建模為導(dǎo)向，基于物聯(lián)網(wǎng)組件分解理論，定義并識(shí)別出所有可能的攻擊面，提出一種綜合評(píng)估物聯(lián)網(wǎng)生態(tài)系統(tǒng)安全方式，為自動(dòng)化滲透測(cè)試提供適當(dāng)?shù)那腥朦c(diǎn)。

關(guān)鍵詞：物聯(lián)網(wǎng);攻擊面;自動(dòng)化滲透測(cè)試;威脅建模

中圖分類號(hào)：TP391.44;TN929.5? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2096-4706（2020）01-0171-03

Abstract：IoT（internet of things） is the considered as the internet of all the things. According to the extension and expansion of internet，the information sensing devices such as frequency identification，infrared sensors，GPS，laser scanner and so on，are able to interconnect with each other. As a new technology production，the architecture of the internet of things is extremely complex，and the security of various components is particularly prominent. Therefore，it will be difficult to carry out the traditional manual evaluation method. At present，there are relatively few studies on the overall assessment of ecosystem security of the internet of things from an attackers perspective. In this paper，based on threat modeling，component decomposition theory based on internet of things，and then give a suggestion of identifying all the referring possible attack surfaces，and form a method of how to estimate the IOT ecosystem security assessment. It will be supposed to provide an appropriate entry point for automated penetration testing in the future research.

Keywords：internet of things;attack surfaces;automated penetration testing;threat modeling

0? 引? 言

物聯(lián)網(wǎng)（IoT，internet of things）是新型信息技術(shù)的重要組成部分，它本質(zhì)上是對(duì)傳統(tǒng)網(wǎng)絡(luò)的進(jìn)一步延伸與擴(kuò)展，通過(guò)將各種信息傳感設(shè)備與互聯(lián)網(wǎng)相結(jié)合，實(shí)現(xiàn)任何時(shí)間、任意地點(diǎn)的人、機(jī)、物的互聯(lián)互通[1]。物聯(lián)網(wǎng)具有整體感知、可靠傳輸和智能處理的特性要求，是由各種組件進(jìn)行的大規(guī)模、復(fù)雜化的配置與融合，針對(duì)這些特征，安全應(yīng)用亦將面臨著規(guī)模復(fù)雜、綜合交互的新型挑戰(zhàn)。

滲透測(cè)試是通過(guò)模擬攻擊的方式，評(píng)估互聯(lián)網(wǎng)或系統(tǒng)安全的常規(guī)性方法，與黑客攻擊的非法性目標(biāo)不同，其旨在提供系統(tǒng)中可以被攻擊者利用的漏洞清單及修復(fù)建議，以提高系統(tǒng)的整體性安全。按照PTES（滲透測(cè)試執(zhí)行標(biāo)準(zhǔn)）的規(guī)定內(nèi)容[2]，滲透測(cè)試過(guò)程可分為前期交互、情報(bào)搜集、威脅建模、漏洞分析、漏洞攻擊、后滲透以及撰寫(xiě)報(bào)告7個(gè)階段，而威脅建模又是其中至關(guān)重要的環(huán)節(jié)，該環(huán)節(jié)根據(jù)已獲取信息識(shí)別出可能存在的攻擊矢量，指引后續(xù)漏洞挖掘與驗(yàn)證的執(zhí)行。

截至當(dāng)前，針對(duì)物聯(lián)網(wǎng)安全方面的研究，往往是將對(duì)物聯(lián)網(wǎng)設(shè)備的探究分析、模擬攻擊及防御方法作為重點(diǎn)關(guān)注對(duì)象，而極少以攻擊者為第一視角提供評(píng)估物聯(lián)網(wǎng)生態(tài)系統(tǒng)整體安全性的方法。此外，盡管滲透測(cè)試是一種廣泛使用的方法，但如繼續(xù)沿用于物聯(lián)網(wǎng)安全研究中，將會(huì)耗費(fèi)大量的人力、物力、財(cái)力及時(shí)間成本，因此物聯(lián)網(wǎng)安全滲透測(cè)試的發(fā)展將會(huì)是更加自動(dòng)化、智能化的。

當(dāng)前滲透測(cè)試的工作對(duì)象普遍以Web應(yīng)用系統(tǒng)和移動(dòng)應(yīng)用為主，而針對(duì)物聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能、云應(yīng)用等新形態(tài)的滲透測(cè)試研究也勢(shì)在必行。與傳統(tǒng)滲透測(cè)試模式不同，這些新興應(yīng)用規(guī)模龐大、結(jié)構(gòu)復(fù)雜，其所涉及的安全問(wèn)題也異常突出，為了適應(yīng)這些新變化，新的滲透測(cè)試模式與方法也急需形成并于實(shí)踐中運(yùn)用。本文中，我們的研究基于物聯(lián)網(wǎng)自動(dòng)化滲透測(cè)試的威脅建模，通過(guò)逐步分解來(lái)定義和識(shí)別出物聯(lián)網(wǎng)生態(tài)系統(tǒng)中所有可能的安全攻擊面，從而提出一種整體評(píng)估物聯(lián)網(wǎng)安全性的可行方式，為實(shí)現(xiàn)后續(xù)的自動(dòng)化滲透測(cè)試提供適當(dāng)?shù)那腥朦c(diǎn)。

1? 物聯(lián)網(wǎng)安全

相較于傳統(tǒng)互聯(lián)網(wǎng)，物聯(lián)網(wǎng)安全防御更為繁雜，因其結(jié)構(gòu)化的組合特性，會(huì)涉及更多的安全漏洞或攻擊面。因此，傳統(tǒng)的網(wǎng)絡(luò)安全解決方案無(wú)法全方位覆蓋至物聯(lián)網(wǎng)安全各方面。按照中國(guó)電信和綠盟科技公司聯(lián)合發(fā)布《2017物聯(lián)網(wǎng)安全研究報(bào)告》中的相關(guān)內(nèi)容，物聯(lián)網(wǎng)安全架構(gòu)可以被分為感知層、網(wǎng)絡(luò)層和應(yīng)用層：

（1）感知層安全。感知層也常被稱為識(shí)別層或物理層，主要負(fù)責(zé)信息采集及傳輸，是物聯(lián)網(wǎng)全面感知的核心能力。信息采集技術(shù)包括傳感器、條碼、二維碼、RFID射頻、音視頻等多媒體信息，而信息傳輸通常指的就是實(shí)現(xiàn)這些設(shè)備之間相互通信的傳感器網(wǎng)絡(luò)?；诳陀^因素的考慮，物聯(lián)網(wǎng)設(shè)備被設(shè)計(jì)成只具有有限的計(jì)算、通信和存儲(chǔ)能力，往往難以直接在其上面運(yùn)用復(fù)雜的安全技術(shù)，通常會(huì)涉及到的防護(hù)技術(shù)和措施主要有物理安全、硬件安全、接入安全、操作系統(tǒng)安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、應(yīng)用安全等。

（2）網(wǎng)絡(luò)層安全。網(wǎng)絡(luò)層主要負(fù)責(zé)感知層與應(yīng)用層之間的信息傳輸，目前物聯(lián)網(wǎng)中采用的網(wǎng)絡(luò)接入技術(shù)仍然是常用的幾種，如無(wú)線局域網(wǎng)、蜂窩移動(dòng)網(wǎng)、自組網(wǎng)等多種異構(gòu)網(wǎng)絡(luò)。雖然傳統(tǒng)網(wǎng)絡(luò)的安全機(jī)制依舊適用于物聯(lián)網(wǎng)，但畢竟物聯(lián)網(wǎng)的網(wǎng)絡(luò)環(huán)境更為復(fù)雜，所要面臨的網(wǎng)絡(luò)安全問(wèn)題也相對(duì)更加繁多，例如針對(duì)網(wǎng)絡(luò)安全勢(shì)態(tài)感知、物聯(lián)網(wǎng)專有網(wǎng)絡(luò)協(xié)議等方面。

（3）應(yīng)用層安全。目前物聯(lián)網(wǎng)領(lǐng)域中主要存在兩種形式的Web應(yīng)用，即混合云模式和獨(dú)立嵌入式服務(wù)器模式?；旌显颇Ｊ酵ǔ０瑥S家或服務(wù)提供商的SaaS服務(wù)，與嵌入式固件中的Web應(yīng)用程序建立并實(shí)現(xiàn)數(shù)據(jù)同步。每套混合模式框架都包含第三方市場(chǎng)，其中也涉及各種類功能插件，這種移動(dòng)框架在帶來(lái)便利性同時(shí)也隱藏著諸多安全隱患。獨(dú)立的嵌入式服務(wù)應(yīng)用則是為特定系統(tǒng)而開(kāi)發(fā)的，例如采用C、Swift、Java等原生語(yǔ)言編寫(xiě)，因此原生應(yīng)用的安全也往往取決于開(kāi)發(fā)人員對(duì)原生平臺(tái)語(yǔ)言的熟悉程度，這在實(shí)際中往往是難以把控的[3]。

2? 滲透測(cè)試

根據(jù)OWASP物聯(lián)網(wǎng)滲透測(cè)試項(xiàng)目相關(guān)內(nèi)容[4]，物聯(lián)網(wǎng)自動(dòng)化透測(cè)試主要分為四個(gè)階段，即信息收集、漏洞分析、漏洞挖掘和報(bào)告形成。

2.1? 信息收集

信息收集是初始階段但尤為關(guān)鍵的環(huán)節(jié)，滲透測(cè)試是否能夠成功執(zhí)行，很大程度上取決于從其所依賴三層結(jié)構(gòu)中探測(cè)到的可用信息。

（1）感知層：在感知層中，有必要收集到的物理環(huán)境信息包括但不局限于節(jié)點(diǎn)位置、節(jié)點(diǎn)類型、節(jié)點(diǎn)范疇、連接方式、通信協(xié)議、拓?fù)浣Y(jié)構(gòu)、操作系統(tǒng)、功率、保護(hù)機(jī)制、節(jié)點(diǎn)脆弱性、傳輸協(xié)議脆弱性等。

（2）網(wǎng)絡(luò)層：與傳統(tǒng)滲透測(cè)試基本一致，所收集的信息大致為網(wǎng)絡(luò)類型、連接方式、保護(hù)機(jī)制、傳輸協(xié)議脆弱性等。

（3）應(yīng)用層：盡管物聯(lián)網(wǎng)應(yīng)用場(chǎng)景極為廣泛，但針對(duì)其在應(yīng)用層的信息收集工作基本相同，譬如服務(wù)器類型、訪問(wèn)端口、配置信息、應(yīng)用程序報(bào)錯(cuò)或泄露等信息。

2.2? 漏洞分析

基于已獲知的信息，確定測(cè)試執(zhí)行目標(biāo)及計(jì)劃，分析并識(shí)別出可行的攻擊途徑，考慮如何取得目標(biāo)系統(tǒng)的訪問(wèn)權(quán)。

2.3? 漏洞挖掘

根據(jù)之前已識(shí)別出的攻擊路徑和目標(biāo)，實(shí)施對(duì)漏洞的挖掘與驗(yàn)證。

2.4? 報(bào)告形成

報(bào)告是滲透測(cè)試過(guò)程中最為重要的因素，以報(bào)告文檔展現(xiàn)滲透測(cè)試過(guò)程所發(fā)現(xiàn)的安全漏洞和弱點(diǎn)，為漏洞修復(fù)提供依據(jù)指引，是滲透測(cè)試工作真正價(jià)值的體現(xiàn)。

3? 威脅攻擊研究

威脅建模是一種深入分析應(yīng)用程序安全性的有效方法，它通過(guò)提供上下文和風(fēng)險(xiǎn)分析來(lái)識(shí)別、量化、定位和捕捉應(yīng)用相關(guān)安全風(fēng)險(xiǎn)。當(dāng)評(píng)估物聯(lián)網(wǎng)安全性問(wèn)題時(shí)，往往建立威脅模型是極有必要的，它還能夠幫助指引滲透測(cè)試的執(zhí)行過(guò)程，有助于消除物聯(lián)網(wǎng)中存在的安全隱患。

威脅建模通常分為3個(gè)步驟，即應(yīng)用分解、威脅確定和對(duì)策解讀。本節(jié)內(nèi)容是基于已提出的BDI建模[5]，從攻擊面角度分解物聯(lián)網(wǎng)系統(tǒng)，從而提供可被識(shí)別的潛在安全威脅攻擊面，旨在為后續(xù)確定對(duì)策和緩解措施提供參考依據(jù)。

以攻擊者視角將物聯(lián)網(wǎng)，按照攻擊面分解各應(yīng)用組件，可分為生態(tài)系統(tǒng)、設(shè)備內(nèi)存、設(shè)備物理接口、設(shè)備Web界面、設(shè)備固件、網(wǎng)絡(luò)服務(wù)、管理界面、本地?cái)?shù)據(jù)存儲(chǔ)、云Web界面、第三方后端APIs、更新機(jī)制、移動(dòng)應(yīng)用程序、供應(yīng)商后端APD、生態(tài)系統(tǒng)通信、網(wǎng)絡(luò)流量、認(rèn)證與授權(quán)、隱私和硬件。根據(jù)OWASP物聯(lián)網(wǎng)滲透測(cè)試項(xiàng)目中定義內(nèi)容[6]，分解出各攻擊面所涉及自動(dòng)化滲透測(cè)試的關(guān)聯(lián)威脅漏洞如表1所示。

4? 結(jié)? 論

物聯(lián)網(wǎng)生態(tài)系統(tǒng)已逐漸演化成為一種融合了傳統(tǒng)網(wǎng)絡(luò)、傳感器、無(wú)線網(wǎng)絡(luò)、普適計(jì)算、云計(jì)算等信息與通信技術(shù)的完整信息產(chǎn)業(yè)鏈，其涉及的終端規(guī)模龐大、業(yè)務(wù)面廣、技術(shù)標(biāo)準(zhǔn)規(guī)范分散等問(wèn)題，對(duì)物聯(lián)網(wǎng)安全評(píng)估帶來(lái)了極大的挑戰(zhàn)。

針對(duì)物聯(lián)網(wǎng)生態(tài)系統(tǒng)的安全現(xiàn)狀，本文按照感知層、網(wǎng)絡(luò)層、應(yīng)用層的結(jié)構(gòu)劃分，簡(jiǎn)析并對(duì)比了其各自與傳統(tǒng)網(wǎng)絡(luò)安全方面的差異性;建議采用自動(dòng)化滲透測(cè)試方法進(jìn)行全方位評(píng)估;以BDI建模思想作為指引，系統(tǒng)性梳理并形成其涉及攻擊面有可能出現(xiàn)的威脅漏洞清單，旨在為后續(xù)自動(dòng)化滲透測(cè)試的進(jìn)一步研究提供可行的輸入及依據(jù)參考切入點(diǎn)。

參考文獻(xiàn)：

[1] JUN Q，PO Y，XU L，等. Advanced Internet of Things for Personalised Healthcare System：A Survey [J].Pervasive & Mobile Computing，2017（41）：132-149.

[2] OWASP.IoT Attack Surface Areas Project.” [EB/OL].[2019-11-06].https：//www.owasp.org/index.php/IoT Attack Surface Areas.

[3] DENIS M，ZENA C，HAYAJNEH T. Penetration testing：Concepts，attack methods，and defense strategies [C]//2016 IEEE Long Island Systems，Applications and Technology Conference （LISAT），IEEE，2016.

[4] CHU G，LISITSA A. Penetration Testing for Internet of Things and Its Automation [C]//IEEE 16th International Conference on Smart City，At Exeter，United Kingdom，2019.

[5] 趙旭赟，宋彬，阮長(zhǎng)明，等.基于BDI的多Agent復(fù)雜系統(tǒng)建模方法 [J].信息技術(shù)，2015（10）：121-123.

[6] OWASP China，OWASP IoT項(xiàng)目，OWASP IoT Top 10 2018 [EB/OL].[2019-11-06].http：//www.owasp.org.cn/owasp-project/owasp-things.

作者簡(jiǎn)介：馮偉（1987.03-），男，漢族，湖北黃岡人，工程師，碩士，研究方向：Web應(yīng)用安全滲透測(cè)試、自主Web服務(wù)組合。