風險管理是一項永無止境的任務。安全工程師必須不斷評估威脅、漏洞和風險，以滿足合規(guī)要求并領先于攻擊者。分析師必須能夠分析幾乎每天的漏洞報告并計算它們對系統(tǒng)的影響。這可能導致過度工作和疲勞，因為漏洞報告永遠不會停止。自動化對于幫助組織理解威脅情報數(shù)據(jù)、動態(tài)更新策略和實現(xiàn)系統(tǒng)內(nèi)的持續(xù)合規(guī)性至關重要。機器可讀性是啟用自動化威脅和風險分析流程所必需的。

本文研究了當今可用的一些自動化威脅和漏洞管理選項，并討論了如何調(diào)整這些方法以實現(xiàn)物聯(lián)網(wǎng)安全和維護近乎實時的合規(guī)性和風險狀態(tài)視圖的目標。之前的一篇文章更廣泛地討論了對幫助開發(fā)人員更有效地在物聯(lián)網(wǎng)產(chǎn)品中構建安全性的工具的需求。

為了實現(xiàn)物聯(lián)網(wǎng)部署的自動化風險管理，分析系統(tǒng)從眾多不同來源獲取數(shù)據(jù)并自動分析該數(shù)據(jù)以清晰地描繪最新風險。理想情況下，數(shù)據(jù)源包括物聯(lián)網(wǎng)產(chǎn)品本身，這些產(chǎn)品應設計為報告設備軟件和硬件組成以及第三方或開源組件。安全運營團隊運行的固件分析工具掃描最新部署的固件并報告弱點。威脅情報源為威脅提供上下文，包括攻擊者配置文件和能力。所有這些數(shù)據(jù)都應該以機器可讀的格式提供，以便可以將其提供給經(jīng)過訓練的機器學習算法，以計算每個設備的風險概況。維護每種設備的持續(xù)更新的風險概況為分析安全權衡決策提供了堅實的基礎。圖 1 顯示了用于自動和持續(xù)威脅和風險分析的框架。

圖 1：數(shù)據(jù)收集為自動化風險分析提供依據(jù)（來源：VDOO）

可以自動化的首批領域之一是威脅情報共享。威脅情報提供有關最新攻擊者配置文件和與危害指標 ( IoC ) 相關的上下文的持續(xù)數(shù)據(jù)。今天，有許多可用的自動化威脅情報共享工具。結構化威脅信息表達(STIX) 就是一個例子。STIX 由 MITRE 和 OASIS 創(chuàng)建，允許共享威脅信息，包括動機、能力和建議的響應。STIX 還提供與受損指標相關的數(shù)據(jù)以及在受損時采取的適當響應/行動方案。STIX 2.0 可從 OASIS 獲得，旨在作為獨立的共享標準或與可信的自動情報信息交換 (TAXII) 規(guī)范一起工作。

TAXII也由 OASIS 定義。TAXII 是一個基于 REST 的 API，通過 HTTPS 運行。該規(guī)范定義了如何共享標準化的威脅情報信息。可以使用基本的發(fā)布/訂閱模型配置通道，允許生產(chǎn)者與消費者共享威脅情報數(shù)據(jù)。在物聯(lián)網(wǎng)模型中，支持設備產(chǎn)品的云安全服務將充當威脅情報數(shù)據(jù)的消費者，使服務能夠自主評估與設備相關的最新威脅環(huán)境。定義了三個服務：

發(fā)現(xiàn)服務允許對等方/訂戶了解支持的服務。

集合管理服務允許訂閱數(shù)據(jù)集合。

收件箱服務允許節(jié)點接收內(nèi)容，而輪詢服務指定如何請求內(nèi)容。

TAXII 中定義了三種共享模型：Hub and Spoke、Source/Subscriber 和 Peer to Peer。

STIX 和 TAXII 都是機器可讀的。將此類服務設計為機器可讀是啟用自動分析和響應最新威脅的先決條件。這些威脅情報源提供了有用的信息，但必須在與物聯(lián)網(wǎng)產(chǎn)品相關的獨特漏洞的背景下進行分析——為此，需要額外的數(shù)據(jù)源。例如，必須提供最新的安全咨詢數(shù)據(jù)。機器可讀的漏洞源允許物聯(lián)網(wǎng)安全服務在上下文中分析威脅，為其產(chǎn)品提出真正基于風險的評分模型。例如，Cisco 定義了OpenVuln API以實現(xiàn)其思科特定安全建議的自動化。安全內(nèi)容自動化協(xié)議 (SCAP) 為機器提供與供應商無關的能力來使用 CVE 數(shù)據(jù)。SCAP 已經(jīng)存在十多年了，它提供了已知安全漏洞、軟件配置問題和相關產(chǎn)品名稱的列表。

產(chǎn)品漏洞信息必須延伸到產(chǎn)品中使用的組件。開源軟件 (OSS) 和第三方庫在物聯(lián)網(wǎng)產(chǎn)品中發(fā)揮著至關重要的作用?？蛻艚M織必須能夠在部署的物聯(lián)網(wǎng)產(chǎn)品中識別這些庫，以準確計算風險。為了解決這個問題，美國國家電信行業(yè)協(xié)會 (NTIA) 正在開展軟件組件透明度計劃，該計劃將產(chǎn)生機器可讀的軟件材料清單 (SBOM)。

SBOM 將使客戶組織能夠查詢產(chǎn)品中使用的庫和組件，并在自動分析程序中使用數(shù)據(jù)。這支持輕松識別必須修補的易受攻擊的組件，并允許開發(fā) API 在產(chǎn)品生命周期內(nèi)跟蹤這些組件的狀態(tài)。然而，物聯(lián)網(wǎng)產(chǎn)品供應商需要時間來開始整合這一新功能。

在此期間，安全運營團隊可以使用VDOO Vision ? 等工具來掃描連接到網(wǎng)絡的物聯(lián)網(wǎng)產(chǎn)品，報告漏洞并清點其物聯(lián)網(wǎng)設備中存在的所有第三方庫。此信息用于更準確地計算風險并確定必須快速部署哪些特定庫補丁。VDOO 的嵌入式運行時代理 ( ERA? ) 等工具) 甚至可以在物聯(lián)網(wǎng)產(chǎn)品上快速編譯，以比開發(fā)人員修補所需要的速度更快地緩解已識別的固件風險，從而為安全運營團隊提供了一種平衡的緩解方法。ERA 支持 Linux 和 Android，并在 MIPS、ARM 和 X86_64 架構上運行。它旨在最大限度地減少對設備要求的影響，例如代碼大小、延遲。例如，ERA 僅引入了 1MB 的存儲開銷和不到典型 IoT CPU 開銷的 1%。安全工程師會根據(jù) VDOO Vision 掃描結果了解量身定制的 ERA 保護措施。

安全運營團隊應開始為其物聯(lián)網(wǎng)部署設計自動化風險管理流程。例如，在國防部 (DoD) 中，網(wǎng)絡安全領導者已開始在其持續(xù)合規(guī)計劃的成功基礎上，開始啟用更全面的自動化風險管理計劃。安全團隊可以通過評估多個數(shù)據(jù)饋送來自動量化風險，從而更好地了解漏洞的上下文，而不是簡單地計算證明部署遵守一組政策或法規(guī)的合規(guī)性記分卡。這需要全面了解系統(tǒng)中當前的漏洞以及威脅的影響和可能性。

所有這些自動數(shù)據(jù)饋送都可以讓產(chǎn)品安全工程師開始考慮對最新風險的自動響應。我們可以查看云防火墻行業(yè)的威脅信息自動響應示例。今天的云防火墻集成了 API，這些 API 可以根據(jù)最新的威脅情報（例如已知的惡意 IP 地址或 DNS 記錄）自動修改規(guī)則。

物聯(lián)網(wǎng)產(chǎn)品應該開始在設備和云服務級別整合基本的安全自動化功能，允許在發(fā)現(xiàn)新威脅或威脅的可能性或影響增加時更新策略和規(guī)則集。NIST 的國家網(wǎng)絡安全卓越中心 (NCCOE) 等組織也在定義新的方法，例如制造商使用描述MUD，允許在云中生成和存儲設備配置文件。這些配置文件向生態(tài)系統(tǒng)發(fā)出設備的有效通信配置文件的信號。使用這種方法，物聯(lián)網(wǎng)設備配置文件可以為物聯(lián)網(wǎng)部署的自動化風險分析提供額外的輸入。

隨著行業(yè)在啟用自動化風險管理技術方面不斷取得進展，物聯(lián)網(wǎng)產(chǎn)品供應商應采用這些功能來支持其客戶快速評估風險和自動部署緩解措施的能力。

審核編輯 黃昊宇