物聯網的風險評估現狀*

方 明 ，呂立昌

（1.91977部隊，北京 100841；2.海軍參謀部直屬工作局，北京 100841）

0 引 言

隨著技術不斷滲透到現代社會中，這些系統的安全性和信任度成為一個日益重要的問題。同時，技術的發展也為針對政府機構及社會組織的攻擊方法產生相應的變化，這為我們當今的網絡系統安全帶來嚴重的挑戰。解決此類挑戰的傳統方法是對目標網絡實施安全風險評估過程，包括：識別關鍵資產；識別系統面臨的主要威脅；成功攻擊的可能性以及可能造成的危害。在風險評估過程實施后，我們才可以選擇適當的風險管控方法對網絡系統風險進行控制。物聯網系統通過一系列的智能化平臺以及無處不在的數字連接來為社會服務，它不僅僅是一個網絡物理系統，同時也是一個社會系統。這種無處不在的數據連接可以使得在處理時間、自動化程度上有很大差異的系統之間發生聯系。然而，從安全和信任管理的角度來看，物聯網面臨的挑戰是，現有的風險評估方法是在此之前建立的。因此，可能無法滿足這些復雜、廣泛存在、高自動化程度系統的風險評估需求。所以，當采用這些方法進行物聯網風險評估時，可能會使我們無法識別其系統環境中出現的新風險。物聯網風險分析過程可能與網絡攻擊有關，同時也可能與社會過程（例如，社交媒體中的病毒效應）。

在本文中我們分析了現有安全風險評估方法不適用于物聯網系統的原因，并強調物聯網系統急需一種合適的風險評估方法來支撐物聯網系統的信任體系。只有通過調研各行各業的物聯網使用情況，并積極與政府和學術界合作才能制定此類新的針對物聯網的風險評估方法，只有這樣，我們才能更好的應對物聯網所面臨的安全威脅。

1 現有互聯網安全風險評估范例

1.1 風險評估的核心概念

風險評估通常被理解為識別，估計和優先考慮組織資產和運營風險的過程。這是風險管理中的一項關鍵活動，因為它為已識別的風險提供了安全分析的基礎。處理風險的措施包括：考慮到組織的風險偏好，風險在可接受水平的情況下接受風險；使用安全控制措施降低風險；通過購買網絡保險進行風險轉移；或通過刪除受影響的資產來避免風險。風險評估中有幾個核心概念，例如資產，漏洞，威脅，攻擊可能性，影響或網絡危害。資產可以定義為任何對于組織有價值的項，并且每一種資產擁有許多不同的屬性。例如，資產可以是有形的（例如，技術基礎設施）或無形的（信譽或業務流程），或者它們可以是系統內的小組件或者是系統本身。漏洞是指那些可以非法獲得資產的方法，我們可以設置漏洞防護工具保護資產。威脅是可能對資產產生負面影響的行為，通常涉及利用漏洞。這些行為可能是故意的（例如，竊取公司數據）或意外的（例如，成為社會工程攻擊的受害者）。網絡風險是這些概念的組合，并考慮威脅或成功攻擊發生的可能性，以及可能導致資產的危害。

1.2 風險評估方法

盡管已明確定義了網絡安全風險評估背后的基本流程，但其子流程的實施方式仍具有合理的靈活性。這種靈活性導致了用于進行風險評估的若干不同方法。這些因素根據背景以及評估所針對的組織類型而有所不同。這些風險評估的主流方法包括：NIST SP800-30，ISO/IEC 27001，OCTAVE，CRAMM and EBIOS[1]，這些方法都在組織內定期應用，以評估風險。鑒于風險評估方法的種類繁多，我們應該分別考慮這些風險評估方法的某一方面，以分析這些方法的優劣。其中兩個最重要的方面是方法的性質以及它如何衡量風險；這些可以在最近的調查工作中看到[2]。就方法的性質而言，我們特別考慮這樣一個事實，即某些風險評估流程以關鍵資產及其對資產可能發生的危害為基礎。NIST方法是其中之一，因此，其第一步是識別威脅源和事件[3]。在此之后，它主張在確定風險之前確定可能被利用的漏洞以及威脅事件的相應可能性和影響。然而，諸如OCTAVE之類的其他方法強調首先識別關鍵資產，然后根據這些資產如何受到威脅以及威脅的結果向外構建風險評估模型[1]，通過這個過程，可以了解風險。以資產為導向的方法的好處是，它確保評估過程是以關鍵資產為中心，而非短暫威脅為指導的，而面向威脅的方法往往更好地迎合當前的威脅形勢。定性的衡量風險的方式也是一個有爭議的領域。關于威脅的可能性和影響的評級，定性測量-例如，高，中，低的變化-可以在大多數流行的定性的衡量方法中找到（例如，NIST SP800-30，ISO/IEC 27001，OCTAVE）。其好處在于直觀性，包括設定風險偏好，衡量風險（通過威脅可能性和影響評級的組合），以及將風險信息逐級傳遞。然而，定性方法的缺點是其主觀性和缺乏精確性[2]。例如，一個人對威脅的看法可能不符合他人的觀點。因此，人們提出了許多定量的風險評估方法來解決這一問題，這些方法的特點是引入概率來衡量風險值。雖然這些方法能夠部分解決這一問題，但它們往往會引發其他重要問題。其中最常見的是分析的復雜性（容易出錯并且難以與他人溝通），以及準確估計威脅事件發生概率和影響價值的準確性（缺乏足夠的數據）。這些方面限制了定量分析技術的應用，并且在復雜且高度互連的系統中很少有已知的實用或成功案例。除了上面提到的區別因素之外，還有一些其他領域有助于衡量風險值的評估方法，并且適用于我們的物聯網環境。文獻[2]的方法適用于風險傳播或依賴的程度以及如何評估組織基礎設施中的各種資源以及從何種角度進行評估；并且該方法優先考慮降低已知系統風險，或將分析擴展到未來情景并根據過去的經驗進行假設。

2 物聯網的相關動態

就其本質而言，物聯網是一種復雜的技術范例。這種復雜性通過其各種應用（從物流和制造，到醫療保健和智能基礎設施）部分地在圖1中描述。

圖1 物聯網系統中常見的組件陣列[4]

從風險評估和信任的角度來看，物聯網的動態特別令人感興趣，原因有幾個。在下文中，我們通過檢查物聯網的動態來補充我們的風險評估方法，這為我們在第3節中的核心論點奠定了基礎。

關于物聯網的第一點注意事項是設備和系統中規模的可變性。物聯網的一個主要優勢是它能夠擴展（或縮小）規模，并適應各種新系統和“事物”，如圖1所示。實際上，物聯網發展的本質是在最廣泛的視角上擴展我們的環境和基礎設施。我們正在目睹數字功能的加入，這使得我們可以在構建世界的任何方面實現遠程控制和協作，從某種意義上說，沒有任何東西會超出未來的物聯網。物聯網的另一個特點是它的設備之間動態連接的時間性[4]。物聯網設備可以松散耦合以執行某些任務并在連接完成后中斷連接，或者持久的連接。鑒于對風險的影響（例如，未經授權的設備持久的連接），因此了解特定物聯網所需的時間性級別非常重要。物聯網風險評估的最后一個特征因素是支持這種設備連接關系的管理和控制活動所需的資源。

有限的資源將意味著物聯網設備可能被迫采用有限的連接關系；或者，它們可以與云系統耦合（見圖1），這也需要對風險進行評估。能夠在物聯網生態系統內進行交互設備之間的異質性也是一個重要特征。物聯網設備通常可以跨組織訪問，并且可以在線進行唯一的尋址。在允許松散耦合的情況下，可以有任何數量或類型的參與者，無論是設備，人員還是系統，與他們交互或者與他們的資產進行交互圖1，這在物聯網的角度來看這是理想的，但這種交互通常是允許適應任務的，正如我們將在第4節中討論的那樣，從信任的角度來看，它有許多缺點，因為這為信任管理帶來了問題，參與者的異質性意味著可能形成惡意關系[5]。此外，由于某些關系可能是自發的或時間性的，因此跟蹤行為不端的參與者可能具有挑戰性，并且由于風險可能分布在各種設備上，因此難以確定風險的位置或傳播。在物聯網的討論中經常被忽視的一個因素是綁定這些系統的基礎設施，特別是那些物理網絡或網絡社交系統。如果我們反思物聯網系統的安全性和信任策略的研究和實踐狀況，我們可以看到有大量的工作都集中在設備組件和接口上[5]。然而，實際情況是，這些設備綁定的過程以及允許它們耦合和操作的連接關系也是重要的考慮因素。

3 當前的風險評估方法在物聯網的應用

物聯網系統的動態特性將使得使用當前的網絡風險評估方法對其進行風險評估具有挑戰性，如果我們要在物聯網環境中實現信任，我們必須處理一些關鍵因素。

3.1 定期評估

系統風險的定期評估通常是由于組織先前的風險評估可能不再有效而引發的。這些觸發因素包括系統的重大變化、業務流程的變化、威脅情報以及發現系統新漏洞。當然，即使依據以上這些因素，我們仍然有可能對實際的風險威脅識別錯誤，或者我們忍受當前的風險情況不觸發定期風險評估，并導致風險的發生。定期風險評估方法不適用于物聯網的原因在于，由于物聯網的動態性質，評估方法的周期性已經是一個明顯的弱點[6]。例如，物聯網系統規模的可變性意味著在定期評估之間出現新系統的可能性非常高。為了風險評估的有效性，定期風險評估需要能夠預測在下一次評估之前可能出現的新系統的一些特性然而這是極具挑戰性的，而且目前的方法通常不支持[6]。

3.2 系統邊界的改變對系統的影響

風險評估目前側重于確定存在的系統風險，到目前為止，全面了解一個網絡系統的安全環境仍然是一個十分困難的問題[6]。然而即使有一種方法可以全面了解系統的安全環境，但這對于物聯網來說也是不足夠的，因為系統可能會很快地改變形狀。即使我們能夠增強當前技術以考慮潛在的變化，我們仍將面臨轉移系統邊界的挑戰。 變化的頻率可能很高，以至于我們將被迫以有限的系統知識來管理風險。

對于物聯網而言，風險評估策略必須實現從系統細節中抽象出風險特征的方法，以保證風險評估的正確性。風險評估策略可能面臨的困難是，這最初將導致識別更多潛在風險，然而這些風險中的絕大多數都不會實現。毫無疑問，這將迫使采用威脅情報來完善這些評估。在這種情況下，我們可以使用智能威脅識別系統，一邊啟用運行智能威脅識別系統對物聯網進行風險評估。

3.3 連入網絡基礎設施的挑戰

很明顯，物聯網以及構成網絡環境的各種大量設備之間將創建大量連接。這些連接不僅能夠實現網絡通信的基礎設施，而且還有物聯網的許多優勢，比如：更好的信息，更強的環境意識以及更快地采取更高質量行動的能力。我們需要認識到這樣一個事實，即這種基礎設施不僅在協議和通信標準中被制定，而且它也在系統的每個參與者中運行。物聯網的參與者如何處理他們收到的數據，以及他們如何響應和采取行動，這些參與者本身的行為將對系統產生影響，而這些影響將是其他物聯網參與者的輸入。如果可以預測這些不同層次參與者以及他們的行為是如何傳遞的，那么人們可以設法利用這些參與者的行為用于惡意的目的。不幸的是，沒有現有的風險評估實踐試圖考慮到這種情況。

3.4 攻擊平臺的定義

當前風險評估方法不適用于物聯網的一個關鍵因素是網絡資產只被視為有價值的實體（因此受到保護）而并未將資產視為攻擊平臺。舉個例子，當一個公司收購一些資產時，他們會對這些資產進行評估，以避免由于這些收購的資產可能產生的監管風險。如果這種風險出現并讓利益相關者了解，一些組織也可能尋求增加公司的無形成本。我們特別在物聯網環境中提出這一點，因為物聯網環境將許多新設備和參與者帶入組織系統。而這些參與者或設備可能會受到攻擊并成為分布式網絡攻擊的武器。這種觀點是對內部威脅等問題的延伸，也是對物聯網風險評估提出了若干獨特挑戰[7]。

表1 當前風險評估方法不足以支持物聯網的原因摘要

4 需要采用新方法來評估物聯網系統風險

目前，對于國家或公司中的關鍵基礎設施的風險評估方法依然是以物理網絡或社會系統的風險評估方法為基礎的。雖然這些已知的方法在現有的環境背景下可以很好的應用[6]，但隨著系統復雜性和自動化程度的提高，在我們未來所使用的物聯網中，這些風險評估方法將越來越多的展現他們的缺陷和不足。物聯網系統面臨的風險評估的挑戰是：現有風險評估方法所采用的定期風險評估流程在高度動態系統面前可能無效。對于變換頻率如此高的物聯網系統而言，現有的網絡風險評估方法顯得太過笨重。當前的方法通常固有地假定一個系統及其如何受到攻擊，以及與所涉資產相關的潛在風險。這中固有的風險評估視角無法揭示物聯網系統的風險。此外，該領域正在迅速變化，但我們的風險評估實踐并未跟上步伐：未將資產視為潛在的攻擊平臺就是一個很好的例子。因此，我們需要自動化和實時的風險評估方法，以及開發新的支持工具，來協助模擬和建模，以提高我們的預測能力。這些將從現有的自動化技術（例如文獻[2]）和相互依賴系統中的風險分析研究中獲得靈感。核心目標是適應所有物聯網動態變更。例如，新方法需要考慮關系的潛在可變性，并且有些參與者可能變得高度可信或極不可信，并且參與者可能改變圍繞它的風險控制行為。綁定物聯網系統及其參與者的基礎設施將提供風險傳播機制，并在物理，社交和經濟規模上創造傷害。因此，物聯網參與者或設備如果改變用途，可能造成遠遠超出預期的危害。在新的風險評估方法中也需要考慮到這一點：由 于物聯網環境會頻繁的發生巨大的變化，我們無法定期評估系統。因此，我們需要一種動態、實時的風險評估方法。我們希望可以通過行業和研究之間的密切合作來創建這樣一種方法。