网联汽车照明系统网络安全威胁概述

互联照明系统的网络安全威胁概况2022年2月 (本页故意留空) 互联照明系统的网络安全威胁概况Paul Francik，太平洋西北国家实验室：方法论，可视化，写作原始草稿，调查，分析Michael Poplawski，太平洋西北国家实验室：概念化，资金收购，项目管理，监督，写作审查和编辑Sri Nikhil Gupta Gourisetti，太平洋西北国家实验室：写作审查和编辑，分析Patrick O'Connell，太平洋西北国家实验室：验证，软件Chance Younkin，太平洋西北国家实验室：概念化，资源 特拉维斯·阿什利，太平洋西北国家实验室：方法加勒特·塞帕拉，太平洋西北国家实验室：分析2022年2月为美国能源、能源效率和可再生能源部制作，由太平洋西北国家实验室制作，华盛顿州里奇兰 99352 太平洋西北国家实验室- 31958免责声明本报告是作为美国政府一个机构赞助的工作的说明而编写的。美国政府或其任何机构、巴特尔纪念研究所或其任何雇员均不任何明示或暗示的保证，或对所披露的任何信息、设备、产品或过程的准确性、完整性或有用性承担任何法律责任或责任，或声明其使用不会侵犯私有权利.此处通过商品名称、商标、制造商或其他方式提及任何特定的商业产品、流程或服务并不一定构成或暗示美国政府或其任何机构或巴特尔纪念研究所的认可、推荐或偏袒。本文中作者的观点和意见不一定陈述或反映美国政府或其任何机构的观点和意见。太平洋西北国家实验室由伯特立为美国能源部德- ac05 - 76合同下rl01830印刷在美利坚合众国可供科学和技术信息办公室的DOE和DOE承包商使用，邮政信箱62，橡树岭，TN 37831-0062;电话： （865） 576-8401传真:(865)576 - 5728电子邮件:reports@adonis.osti.gov可从国家技术信息服务处向公众提供 5301 Shawnee Rd.， Alexandria， VA 22312ph值:(800)553 - ntis (6847)电子邮件： orders@ntis.gov <https:// www.ntis.gov/about> 在线订购： http://www.ntis.gov 1文摘为了提高能源性能和节省成本，城市和建筑业主越来越多地考虑“智能照明计划”，旨在将他们的简单灯具（即照明设备）系列转换为智能连接照明系统（CLS），能够远程监控能源消耗和故障条件，并可能实施自适应照明方案。美国能源部（DOE）设定了一个国家目标，即到2030年将建筑行业的能源效率和需求灵活性比2020年的水平提高两倍。1美国能源部预测，到2035年，互联照明系统每年可节省125 TWh的能源，从而为实现这一目标做出贡献。2 相当于50个典型（500兆瓦）发电厂的年产量。然而，如果由于实际或感知的网络安全问题而不采用连接技术，这些节能和能源部目标将面临重大风险。连接的物联网设备历来充斥着漏洞，安全考虑有时是功能和可操作性的次要因素。随着以前平庸的灯具过渡到智能连接设备，收集有关他们自己、周围环境以及可能的信息，将影响这些系统的网络安全威胁是什么？在本文中，我们分析了对路灯故障检测用例执行的威胁概况。威胁配置文件建立安全要求，证明安全措施的合理性，产生可操作的控制，并有效地向利益干系人传达风险。这项工作为做出基于威胁的决策以合理的成本提高安全性提供了关键信息，并且可以被开发团队、软件架构师和经理有效地使用，使网络安全成为他们持续的意识、培训和预防文化的一部分。这会带来更安全的系统和更好的理解安全性。对具有不同身份验证机制的本地、云和混合体系结构进行了建模，然后使用 Microsoft STRIDE 框架进行了分类。对每种威胁的建议控制措施进行了分析，以确定制造商或第三方供应商可以并且应该实施哪些控制措施，以及哪些控制措施需要留给最终用户实施。确定了57个威胁，如下所示表格映射到 STRIDE 框架的威胁分布。威胁类型高优先级中优先级低优先级总计欺骗140014篡改410014否定2103信息披露112013拒绝服务1001海拔的特权120012总计4413057我们的主要结论包括:65%（37/57）的威胁不涉及灯具，而是涉及与灯具通信和管理灯具所需的其他组件63%（36/57）的威胁本可以通过制造商实施的防御技术或“控制”来缓解23%（13/57）的威胁取决于网络配置。 2根据这项工作的结果向主要利益攸关方群体提出建议。值得注意的是，建议照明技术开发人员解决所有可以通过内置技术解决方案（例如加密或身份验证控制）合理控制的威胁，并采用某种形式的安全供应链管理和跟踪，其中灯具的其他部件（例如，传感器、微处理器）也必须在适当的安全控制下构建和制造。开发人员还应审查涉及非内部开发资产的威胁，以了解与其他设备的连接在系统运行期间将如何影响其产品，并确定是否需要对纵深防御策略进行补偿控制。最后，那些对部署CLS感兴趣的人应该比较云和内部部署模型之间的差异，以确定哪个更适合他们的需求和安全团队的能力。介绍建筑物和城市基础设施正在产生越来越多的类型和数量的数据，并利用这些数据来实现有价值的服务。3 传感器用于建筑物中打开门和抽水马桶，部署在城市中以监测天气和跟踪空气质量，并集成到手机中以识别人脸并授权访问。传统上用于提高照明系统能源性能的传感器包括那些试图检测人类存在或日光的传感器。4 通常，这些传感器直接与单个或少量灯集成，这些灯旨在受到传感器输出的影响，并且传感器数据不适用于其他照明设备或照明系统之外。越来越多的室内和室外灯具曾经是仅用于提供照明的单一用途设备，现在配备了现代网络接口，允许在照明系统内外更广泛地共享数据，从而形成智能连接照明系统（CLS）。4 此外，具有其他不同功能的传感器正在以有时明显有时不显眼的方式被整合到照明系统中。增加数据的可用性和使用所带来的潜力是巨大的。数据可用于改善照明和其他互联建筑或基础设施系统的服务和能源性能，甚至可能与其他物联网系统共享。美国能源部（DOE）设定了一个国家目标，即到2030年将建筑行业的能源效率和需求灵活性比2020年的水平提高两倍。1 美国能源部预测，到2035年，互联照明系统每年可节省125 TWh的能源，从而为实现这一目标做出贡献。2 相当于50个典型（500兆瓦）发电厂的年产量。然而，随着照明和其他系统的互联程度越来越高，它们也更容易受到潜在的网络攻击。5 如果由于实际或感知的网络安全问题而未采用连接技术，则照明节能和DOE目标将面临重大风险。数据有望提高性能并创造价值，但这些数据是否可靠安全？收集和传输数据的系统和设备是否可靠安全？这项工作从想要操纵和控制设备的对手的有利位置描述了CLS的攻击面，以及保护这些系统的要求。可以从威胁模型中获得对攻击面或系统入口点的重要见解，如果不受保护，攻击者可能会渗透到该系统中。控制是缓解威胁所需的操作和实现：例如，通过确保个人与提供的标识凭据匹配，在授予对系统的访问权限之前对用户进行身份验证。身份验证方法是控制某人欺骗或模仿他人身份并试图获得系统访问权限的威胁。威胁配置文件将识别攻击面中的不同威胁类型、模式和发生率，同时建议可用于缓解发现的威胁的控制措施。本文探讨了威胁配置文件在照明和其他新兴物联网系统中的使用，旨在回答以下研究问题：1. 哪些网络安全威胁与 CLS 相关联？2. CLS 体系结构、身份验证机制和安装大小如何更改攻击面？3. 谁负责实施威胁配置文件建议的控制措施？ 3背景从历史上看，随着设备支持或连接互联网，网络安全一直是事后的想法，让位于设备功能和易用性。有时这是由于设备的物理限制（例如，计算能力低，无法支持其通信的加密，因此数据以纯文本形式发送，优先考虑可用性和功能，而不是机密性和加密）。2020 年 Unit 42 物联网威胁报告的主要发现之一是，在他们测试的 120 万台设备中，“98% 的物联网设备流量未加密，暴露了网络上的个人和机密数据，使攻击者能够监听未加密的网络流量，收集个人或机密信息，然后在暗网上利用这些数据获利。他们还报告说，“57%的物联网设备容易受到中度或高度攻击，使物联网成为攻击者唾手可得的果实。此外，该报告还发现，“虽然物联网设备的安全态势使它们很容易成为目标，但在大多数情况下，这些设备仅用作横向移动的垫脚石，以攻击网络上的其他系统。6网络攻击可能代价高昂、复杂且复杂。根据 IBM 的 2020 年数据泄露成本报告，2020 年的平均数据泄露成本为 390 万美元，平均需要组织 280 天才能识别和控制。7 Cybersecurity Ventures估计，到2025年，全球网络犯罪将造成10.2万亿美元的损失。8 根据 Tenable 在 2020 年进行的一项新研究，“94% 的组织在过去 12 个月内至少经历过一次影响业务的网络攻击。9 虽然声誉损失可能很难用美元来量化，但也值得一提，因为它可能会破坏未来几年的预期增长或消费者信心。互联照明仍处于早期推向市场阶段。保护这些类型的系统对于帮助希望实现推动 CLS 采用的预期成本节约的组织和建筑业主是必要的。当灯光通过网络连接并且可以与其他设备通信时，新的攻击媒介就会向那些希望渗透到不安全系统的人开放。这可能允许窃取敏感信息，使用更有价值的数据转向其他网络，将设备奴役到僵尸网络军队中，或中断重要服务。事实上，在2016年，达尔豪斯大学的研究人员从200多英尺外证明，一辆配备“现成”组件的面包车只需花费几百美元，就可以破坏一个受欢迎的名牌智能灯泡，只需在街区周围行驶，同时恶意固件更新被发送到灯具。10 这些研究人员分别执行了一种战争飞行技术，其中带有“自主攻击套件”的无人机在飞过配备专有智能灯泡的办公楼时发送恶意固件更新，引发连锁反应，允许恶意代码从光跳到光，直到所有单元都受到损害。在IEEE对物联网设备的扩展功能攻击中，其他研究人员证明，虽然人眼无法察觉，但“他们能够控制LED照明单元，并在已知会诱发光敏性癫痫患者癫痫发作的频率范围内产生频闪。11网络安全是一个广阔的领域，其流程涵盖了组织的许多方面，涉及人员、技术、设备、网络和框架。安全性也是迭代的，因此用户需要不断定义最关键的资产和适当的控制措施，以平衡安全性和功能。识别系统资产并评估相关风险有助于确定哪些最相关;对于那些超过风险承受能力的人，可以实施测试以确定是否有足够的控制措施来减轻风险。然而，定义组织的风险承受能力并不是一门完美的科学，可能会受到偏见的影响，具体取决于经验或背景。出于这个原因，一些组织实施一种整体类型的方法，在定性分析之间取得平衡，以磨练主要威胁，并采用某种形式的定量方法来模拟发生的可能性以及这些风险可能对系统构成的财务影响。技术开发人员和规范组织对网络犯罪的响应是开发框架来指导网络安全最佳实践，以减轻现有的已知威胁。众多框架 4以及评估网络安全漏洞的指南，例如 NIST 网络安全框架、由 150 多种资源组成的 NIST 800 系列、IEC 62443 系列、UFC 4-010-06、UL 2900-1 以及 ISO 27001 和 27002。与其他ISO管理体系标准一样，ISO/IEC 27001认证是可能的，但不是强制性的。各种测试资源也广泛可用，包括开放 Web 应用程序安全项目 （OWASP） 测试指南。虽然这些框架、指南和测试可能全部或部分适用于 CLS，但目前没有对网络安全测试或认证的强制性要求。照明行业，包括技术开发人员和规范组织，目前正在评估这些框架和指南对CLS的适用性。一项新的美国法律，即《2020 年物联网 （IoT） 网络安全改进法案》，要求美国国家标准与技术研究院 （NIST） 发布使用联邦机构拥有或控制的物联网设备的标准和指南。此外，它还指示NIST与网络安全研究人员，行业专家和国土安全部（DHS）合作，发布与联邦机构拥有或控制的信息系统（包括物联网设备）相关的安全漏洞指南，以及解决此类安全漏洞。虽然这对联邦机构来说是一个很好的起点，但它不适用于城市、市政当局、大学校园或