2019小米IoT安全峰会-宋文宽《物联网安全与隐私保护框架》
一此次大会的第八个重磅议题来自小米安全合规负责人-宋文宽,他给大家带来的议题是《物联网安全与隐私保护框架》。
提及安全框架,大家首先想到是管理型的制度体系或证书,例如小米已经获得的ISO27001、ISO27018、ISO29151认证;同时,也存在偏重科学测量的技术框架,可以通过大量的技术验证来确保安全措施的正确实施。本次分享的物联网安全与隐私保护框架,就属于技术框架。
本次分享包括四个部分:
第一部分:物联网面临的安全与隐私风险
第二部分:安全框架IOTSF介绍
第三部分:如何使用安全框架
第四部分:小米物联网安全实验室
个人数据安全是近年的热点话题,用户对物联网产品的安全顾虑更多是担心安全漏洞导致的隐私泄露。参照美国标准组织NIST关于安全风险和隐私风险的定义:
1.安全风险即非授权的设备访问,实践中是IoT设备的安全漏洞导致的非法资源利用或业务中断;
2. 隐私风险即非授权的数据使用,近期颇受关注的大数据征信案例就属于数据的非授权使用,而且直接触犯法律;
3.安全与隐私风险的的交集就是数据泄露,也是最容易引起用户信任危机和监管执法调查的导火索。
典型物联网平台架构
物联网通用分类包括工业物联网、消费物联网,典型场景包括智慧城市、智能楼宇和智慧家庭等。但是,物联网广泛接受的平台架构:云、管、端。
1. 设备端:包括信号发射器、指标参数采集器和端侧执行能力。数据采集对象可能是温度、湿度的环境信息,工业物联网中也可能是设备频率或者转速数据,甚至在可穿戴设备上会采集个人健康数据,比如心跳、睡眠等。
2. 管道端:包括通信网络议和用户交互两个纬度,物联网使用了蓝牙、NB-IoT、Zigbee、Wifi等近距离协议,新协议的引入会同时增加安全攻击面。设备与用户的交互阶段也存在信息传递,比如智能音响的语音交互包括单向的信息查询,同时,语音交互也可以是下达物联设备的操作指令。例如我们家是通过“小爱同学”来控制家里的所有设备,包括空调、窗帘机、扫地机器人等智能家居。如果你到我们家门口就可以唤醒“小爱同学”,同时语音开启或关闭我们家的设备,空调和灯的开关只能是恶作剧,但是如果有“关键设备”的联动场景就会带来交互的风险。
3. 云端:包括云端API管理和设备集中管理等功能。消费物联网生态包括设备厂商和平台企业两个角色,平台为用户提供统一操作入口和优化的用户体验,例如小米、阿里、苹果、谷歌的智能家居平台和app,同时智能音响和语音交互已经成为消费物联网平台的标配。平台和设备厂商通常是不同的企业,典型场景需要跨厂商、平台或云端的API交互,不同安全水平的平台交互会引入新的风险,比如设备的API鉴权。在传统PC时代,如果获得域控权限相当于入侵了所有电脑;IOT时代,如果把云端攻破,也意味着控制了上亿的IOT设备。
物联网的安全风险
安全保护从IT到OT逐步演化,IoT平台的云管端架构提供丰富功能的同时也带来了新的挑战,包括:
1. 设备初始化、更新、OTA安装包合法性验证等
2. 设备之间互操作时的安全管控
3. 设备标识和加密处理
4. 设备可否支持可信环境
5. 服务发现
6. API安全
物联网的隐私风险
物联网不仅有安全风险和挑战,在个人信息的隐私保护方面,挑战也接踵而至。
1. 用户“同意”困难
在PC时代、移动互联网时代,用户可以通过屏幕交互来阅读隐私政策并作出明确的同意操作;IoT时代,因为IoT用户交互的限制用户的充分告知几乎不可能。例如,智能手表的屏幕限制很难让用户阅读几十页的隐私政策,甚至用户同意的交互也“选择性”不足。综合考虑用户体验,隐私的Opt in(选择加入)原则被迫变成了Opt out(选择退出),因此IoT产品的隐私原则需要平衡用户体验。
2. 空间“侵入性”更强
物联网设备,特别是可穿戴设备时刻与用户在一起,已经融入日常工作与生活,用户会忽略这些智能设备的存在,但是,智能设备在默默地记录用户行为。2018年媒体报道智能手环泄漏了美国海外军事基地的位置信息,背后的原因就是智能设备无处不在,即使最有安全意识的军人也忽略了数据收集和滥用的威胁。随着IoT的平民化,市场正在加速逐步淘汰非智能设备,让用户在“物联网时代”没有选择权,智能设备是你的唯一选择。
3. 儿童个人数据保护困难
儿童是一个特殊的群体,在各国立法中都会有特殊条款来保护儿童的权益。IoT时代的智能玩具已经非常普及,儿童监护摄像头、智能玩具、智能手表、甚至最热门的智能音响都是儿童的最爱。但是,法律要求处理个人信息需要获得父母(监护人)授权,如何设计父母的授权交互流程、如何行使数据主体权利,都是物联网时代的挑战。
物联网安全现状:混沌洪荒时代
总结而言,在传统信息安全时代,安全建设的每个领域和解决方案相对清晰,已经有普遍认可的管理和技术框架,企业需要考虑的是资源投入问题。但在IoT时代,没有达成共识的边缘模糊地带(绿色部分)还非常大,如何确保物联网安设备全?如何去落地实施?如何通过供应链的信任传递去获得最终用户的信任?让我们共同去探索,本文的IOTSF安全框架是答案之一。
为什么需要安全框架?
小米拥有全球最大的消费级IoT平台,截止到2019年6月已经有1.96亿联网设备。小米IOT设备超过500款,如何高效、专业、标准化的进行安全评估是需要解决的现实问题。
同时,法律法规是企业做IoT安全的红线要求,例如GDPR原文有“应该实施合适的技术和管理措施……”,并且有26处引用。但是,什么是“合适的技术和管理措施”呢?在法规中并没有答案。
为了赢得供应商和消费者的信任,不但需要满足外部强制性的合规要求,还需要企业内部主动遵守最佳实践。如何选择最佳实践?最重要的原则是不要重复造轮子,标准是通用的合规语言,标准是各利益群体达成一致最廉价、最有效的方案。
物联网安全框架,各个国际组织有很多贡献与输出:ISO组织有物联网安全保护指南,偏重安全管理,技术测试相对弱化。美国NIST的物联网安全保护指南,技术要求和测试用例比较详细和落地,但是依赖第三方商业测评机构。欧洲的物联网安全技术规范ETSI.TS103645(2020年将升级为欧盟标准),是偏安全管理的标准,在商业机构的推动下中国企业的出海产品已经有不少认证案例。
企业如何选择公开框架建立自己的物联网安全框架?如何在成本可控的前提下满足监管需要?如何通过产品或包装上的“标识”赢得用户信任,助力业务发展?
IOTSF安全框架解读
IOTSF是国际开源安全组织,成员包括标准机构、运营商、IoT企业和安全方案公司,企业可以参照框架进行自评估后使用标识,第三方商业机构也可以使用此框架进行评估审核(IOTSF组织保留审计权利)。
第一步 IOTSF框架检查项×225项
框架涵盖治理、流程、软件、硬件等14个域,共计225项检查点,包括安全治理85项,安全技术140项。
第二步 IOTSF与ISMS映射
企业已经建立信息安全管理体系ISMS(ISO 27001或等级保护),如何将IOTSF的检查项映射到安全人员熟悉的ISMS体系,回归熟悉的工作方法,因此需要进行需求的转换和映射。
a) 体系制度共计65项检查点,包括IOT相关安全流程、制度文档的建立;
b) 能力建设共计119项检查点,包括云端基础设施安全、API安全、安全开发流程;
c) 技术验证共计41+72项检查点,其中41项是仅可以通过技术验证的要求;,另外72项检查点是对能力建设要求的交叉验证,测试内容包含了安全测试、隐私测试和功能测试。
将IOTSF框架的225项转化成的我们熟悉的制度文档、能力建设、技术测试,就可以落地了么?非常接近了,但实践中发现还是很难落地,所以需要继续拆解检查项,变成工程师们可以理解的语言。
a) ISMS制度体系与IOTSF要求做对标检查,补充已有制度的检查要点,最终确认体系制度清单13份;
b) 能力建设是安全技术落地的重点,而且能力建设是基于平台的能力,一旦完成能力建设后,基于此平台的IoT产品不在需要重复建设,比如通信加密,API授权、数据库访问权限等。检查项从119扩展到153项,便于工程师的检查与落地;
c) 技术验证环节是提交证据(测试报告)阶段,第三方审计最为关注测试报告的完备性,因此将113控制项细化到173项,分别在安全测试报告和隐私测试报告中呈现。
经过转换和拆解,IOTSF框架要求变成了不同职能部门需要落实和交付的339项检查点,确保物联网“云管端”每个架构层面的安全性。
讨论项目的落地(立项)前先回答三个问题:
第一:框架谁认可?
全球众多监管机构、运营商和设备厂商共同推荐,消费者认可IOTSF标识Logo。
第二:如何实施?
IOTSF框架要求已经拆解非常详尽,但是IoT设备的应用场景和技术实现各异,因此人员要求具备安全与隐私领域的专业知识,建议企业招聘IoT安全专家,或者委托第三方咨询和测评实验室进行协助。
第三:什么时候开始?
从产品设计开始,物联网产品与互联网产品对比,产品变更的成本非常高,安全需求的增加可能需要替换元器件或更换产品架构,因此,请立即开始IoT产品的安全评估(威胁建模、安全需求确认)。
产品安全定级
首先确认产品的风险定级,根据安全三要素保密性、完整性、可用性进行综合评估,确认产品的5个风险级别,并根据级别选择相应的合规检查点。
安全能力建设
安全评估的重点是识别企业在制度体系、安全能力上的差距,并落实技术方案。评估是一次性工作,但评估报告中的不合规项通常需要6-12个月时间进行改造。
技术验证与测试
安全能力建设属于内秀,可以通过安全管理类认证来呈现,比如ISO27001;但是,监管机构和运营商将物联网设备列为高危领域,因此只有安全管理认证是不充分的;安全测试和报告可以从技术上展示产品的安全性,同时技术验证是可以重复的、外部机构可以直接测试和验证,因此技术测试是业内普遍认可的安全证明方式。
小米安全团队依托500+款IoT设备测试的经验与数据积累,研发了自动化App测试、IoT设备测试等平台,服务内容包括不限于漏洞扫描、流量分析、隐私分析、云端渗透测试等。
隐私合规评估平台,实现了隐私风险评估的在线申请,自研的自动化测试工具进行技术分析和验证,同时结合律师团队的专业知识进行风险识别和整改建议输出。小米IoT产品在拓展海外市场过程中,已经完成了130款产品的隐私合规评估,满足了超过55个国家的法规要求。
评估项目交付包括基于IOTSF框架的综合评估报告,附加IOTSF框架225项点对点应答表、安全测试报告、隐私合规评估报告。
小米物联网安全实验室遵循国际标准测试流程(ISO/IEC 17025:2005),采用最佳实标准IOTSF安全框架作为测评依据,依托小米IoT平台及生态链企业的需求及经验积累,已经完成了安全测评能力和标准化交付能力的建设。为构建安全生态,小米安全实验室正式对外开发赋能,第三方企业可以提交测评需求;同时,小米作为IOTSF组织的企业成员,会将测试实践中积累的经验和测试用例进行反馈和开源,IOTSF框架的中文版及测试用例的Beta版本将在Github中开放(点击“阅读原文”可获取)。
任何企业可以基于IoTSF安全框架的进行自评估,然后在产品介绍或包装上使用IOTSF标识Logo,IOTSF组织保留审计的权利;如果产品通过了小米安全实验室的评估和测试,产品将拥有小米安全实验室和IOTSF的联合认证标识Logo。
↓ 点击阅读原文,获取IOTSF框架