隨著拜登總統的政府開始推動對關鍵基礎設施（如能源網、全國通信網絡和運輸網絡）的 2.9 萬億美元投資，以及最近有關毀滅性的 DarkSide 勒索軟件攻擊破壞東海岸殖民管道的消息，現有和提議的系統對惡意行為者的脆弱性再次成為熱門話題。事實上，鑒于最近對現有基礎設施的攻擊，嵌入關鍵基礎設施的嵌入式系統的網絡安全可能比其物理安全更為重要。

防御這種大規模互連的設備網絡的攻擊對設備開發人員、代碼開發人員和網絡安全專家來說是一個巨大的挑戰。運營商必須監控嵌入式系統，不僅要確保設備正常運行，還要不斷檢查惡意活動。導致設備故障的不明故障，無論是由于硬件故障還是犯罪攻擊，都可能產生大規模和毀滅性的影響。

構建最健壯和防御性最強的基礎設施需要實施系統來評估各個級別（硬件、固件和軟件）的嵌入式設備的可靠性。在本文中，我們著眼于控制基礎設施物聯網設備的應用程序的網絡安全工作進展，以及應用程序性能監控的趨勢如何影響嵌入式系統的設計。

關鍵基礎設施與 IT 基礎設施

關鍵基礎設施中物聯網的安全問題影響深遠，因為新的基礎設施投資將增加數百萬必須監控和保護的嵌入式連接設備。每個新的嵌入式系統及其建立的每個連接都代表著攻擊的機會。

不幸的是，關鍵基礎設施是一個模糊的術語。為避免混淆，讓我們定義我們的定義。OT 或操作技術是指用于幫助監控設備和控制任何物理過程的物理硬件。IT 或信息技術是指用于在這些設備中處理信息的軟件。但隨著物理世界的上線，OT 和 IT 之間的界限越來越模糊。物聯網一詞已被用來指代這種現象。

IT 基礎設施對物聯網生態系統無疑也至關重要，并且可以是總稱的一個子集。就我們而言，關鍵基礎設施是指拜登美國就業計劃的基礎設施。

使用2001 年美國愛國者法案的定義，這包括其受損“將對安全、國家經濟安全、國家公共衛生或安全或這些事項的任何組合產生破壞性影響”的系統。

物聯網和嵌入式系統將成為新基礎設施的主要組成部分，并將增強現有基礎設施的能力。

雖然關鍵基礎設施和IT基礎設施是不同的，但兩者的安全性至關重要。對IT基礎設施的攻擊更容易實施，但也可能產生類似的災難性影響，如近年來對供水系統的攻擊所示。

關鍵基礎設施嵌入式系統的網絡安全

對基礎設施的突出網絡攻擊，加上網絡犯罪的普遍上升，導致世界各國政府將大量注意力集中在物聯網設備和嵌入式系統安全上。

去年年底，美國國會通過了《2020年物聯網網絡安全法案》，該法案加強了政府組織部署物聯網設備的安全標準。雖然該法案并不廣泛適用于關鍵基礎設施中的所有物聯網實施，但很可能會產生波及整個行業的連鎖反應。

在國會辯論物聯網網絡安全法案時，國家標準與技術研究所（NIST）發布了兩份文件，將指導未來的物聯網安全標準。物聯網設備網絡安全能力核心基線定義了保護物聯網設備及其數據的最低安全標準。

物聯網設備制造商的基本網絡安全活動概述了物聯網設備制造商在評估要集成到設備中的網絡安全控制時應采取的步驟。連續系統監控是一個特定的重點領域。

歐盟也在加強其網絡安全法規，以應對基礎設施威脅。去年晚些時候，歐盟開始考慮修改其關于網絡和信息系統安全的指令。

嵌入式系統開發人員遵循這些法律發展。雖然它們目前更具抱負性而非可操作性，但最終將導致特定的設備設計要求。

應用程序性能監視的趨勢

對于未來嵌入式系統網絡安全設計的具體想法，開發人員可以關注其他 IT 性能和安全領域的趨勢，例如網絡應用程序性能監控 (APM)。

然而，監控關鍵基礎設施中的嵌入式系統的應用程序是專門黑客的目標。APM 將成為維護關鍵基礎設施安全的重要方面。嵌入式系統開發人員應了解 APM 工具將如何與其設備交互，以及 APM 的趨勢將如何影響嵌入式系統設計要求。

簡化數據收集和傳輸

現有網絡已經遇到處理連接設備的帶寬問題。想象一下，當連接設備的數量增加一個數量級或更多時，問題將變得多么糟糕。如果網絡問題中斷了嵌入式設備與其遠程監控系統之間的連接，則該設備更容易受到攻擊。

投資于經驗豐富且受過良好教育的網絡管理員的服務可能是一種解決方案。預計到明年，網絡管理作為一個職業將增加超過 42,000 個工作崗位，原因很容易理解。網絡管理員負責監督網絡安全系統的安裝，根據需要實施網絡改進，以及安裝或修復硬件和軟件。

如前所述，本地人工智能可能是另一種解決方案。APM 開發人員也在研究改進的無損壓縮方法，以確保在帶寬要求有限的情況下傳輸高質量數據。嵌入式系統開發人員需要繼續研究更有效的板載數據壓縮算法。

使用人工智能和機器學習

近年來，人們越來越依賴人工智能和機器學習來增強 APM。以至于 Gartner 定義了 AIOps 領域。AIOps 旨在將 APM 的重點從被動識別和糾正問題轉變為在問題發生之前主動識別問題。

此外，AIOps 應用 AI 在識別問題后自動執行補救活動。嵌入式系統開發人員同樣可以將 AI 視為在應用程序級別構建主動網絡攻擊識別功能的主要工具。

雖然人工智能目前用于訓練嵌入式系統，但大部分訓練都是在嵌入式設備之外進行的。遠程訓練提供更大量更高功率的處理能力，以快速處理驅動AI模型開發的大量數據。

然而，人工智能在邊緣的使用越來越多，嵌入式系統開發人員應該考慮板載人工智能在本地執行安全監控任務的可行性。然而，由于 AI 模型的計算要求很高，嵌入式系統開發人員必須繼續集中精力減少傳統 AI 方法的開銷，以便在本地環境中更好地應用它們。

融合應用和基礎設施監控

嵌入式系統操作的每個方面都必須受到保護，無論是在其上運行的應用程序的底層硬件。對單個組件監控的依賴正在讓位于更全面的系統操作視圖。

應用可觀察性原則（最好與穩健的監控結合使用）可以更好地全面了解實時嵌入式系統性能，從而更好地識別異常和潛在攻擊。

自動化

網絡管理員和其他 IT 專業人員幾乎不可能手動跟上現代網絡安全計劃所需的所有數據和分析。因此，自動化是未來網絡安全工作的重要組成部分。例如，雖然 APM 可有效評估攻擊的存在，但與自動主動識別漏洞的系統結合使用更為有效。

根據Cloud Defense的網絡安全專家 Barbara Ericson 的說法，“您可以使用傳統的線性漏洞掃描器或使用自適應漏洞掃描器根據先前的經驗搜索特定事物。幸運的是，如果您選擇了好的漏洞管理軟件，漏洞掃描程序可以自動化。通過自動化掃描，您將確保不斷評估您的組織是否存在新威脅，并且您不必在定期掃描上浪費太多人力。”

嵌入式設備開發人員還必須繼續改進自動化監控對設備或其相關應用程序的潛在攻擊，并針對已識別的問題實施自動糾正措施。

結論

隨著美國大力推進基礎設施升級，關鍵基礎設施中的物聯網數量將呈指數級增長。而這種增加必然伴隨著網絡攻擊威脅的增加。嵌入式設備開發人員必須重新關注在船上實施新穎的網絡安全控制，以確保關鍵基礎設施的可靠性和安全性。

審核編輯 黃昊宇