À 3 heures du matin, le téléphone portable a soudainement tremblé, et l'alarme a montré que 2 000 terminaux d'eau intelligents dans une province ont été anormalement déconnectés en même temps. L'enquête d'urgence menée par l'équipe d'exploitation et de maintenance a révélé qu'il ne s'agissait pas d'une panne d'équipement, mais d'une attaque déguisée en trafic normal qui a pénétré la protection native de la plateforme de l'internet des objets, le canal de données est encombré, l'équipement collectif a “perdu la connexion”. Si cette attaque se superpose au vol de données, les conséquences sont inimaginables. Cette question me permet de bien comprendre que la sécurité de l'IdO, qui repose uniquement sur le cryptage des appareils et l'authentification de la plateforme, est loin d'être suffisante. La protection des liens de communication est l'angle mort de la plupart des entreprises.
La communication des appareils IdO présente une caractéristique fatale : une longue connexion, de petits paquets et une interaction à haute fréquence. Les caméras téléchargent des images à chaque instant, les capteurs transmettent régulièrement des données environnementales et les voitures intelligentes continuent d'envoyer des informations de positionnement. Ces communications peuvent sembler anodines, mais leur nombre est énorme et continu, et il est très facile de les transformer en source d'amplification des attaques DDoS, mais aussi en “mine d'or de données” aux yeux des pirates informatiques. De nombreuses entreprises pensent qu'elles peuvent être tranquilles avec le cryptage TLS, mais des attaques de type "man-in-the-middle", des vulnérabilités de protocole et des fuites de clés peuvent toujours se produire. Ce qui est encore plus effrayant, c'est que les attaquants utilisent souvent des requêtes commerciales normales pour y mélanger du trafic malveillant, et les pare-feu traditionnels ne peuvent tout simplement pas distinguer les vraies données des faux battements de cœur.
L'année dernière, j'ai participé à l'audit d'une plateforme de maison intelligente et j'ai constaté que, bien qu'elle utilise HTTPS, la vérification du certificat permet en fait à n'importe quelle autorité de certification d'émettre, et l'intermédiaire qui insère un faux certificat peut être décrypté dans son intégralité. En outre, l'interface API de l'entreprise est compatible avec l'ancien équipement et ne limite pas le taux d'attaque, ce qui fait que les attaquants qui utilisent des attaques CC à faible taux épuisent lentement les ressources du back-end. Ces problèmes ne peuvent être évités par une solution de sécurité unique. La sécurité de l'IdO doit être stratifiée - et le CDN haute défense, précisément dans la couche de communication pour construire une “armure furtive”.
La valeur fondamentale d'un CDN à haute défense est qu'il pousse le nœud de nettoyage du trafic le plus proche de la source de l'attaque. Au lieu de se connecter directement à la source, les appareils IoT accèdent d'abord au nœud périphérique du CDN. Tout le trafic y est d'abord nettoyé, puis transmis au serveur source. Cela signifie que l'IP source est complètement cachée, les attaques DDoS ne peuvent même pas atteindre le seuil de votre porte. J'ai testé une plateforme industrielle IoT CDN5, même en cas d'inondation UDP de 300 Gbps, la latence du back-end est presque insensée - le trafic dans le nœud de bordure sera tué.
Mais le CDN de haute sécurité n'est pas seulement anti-D. Pour la fuite de données, il fait trois choses essentielles : premièrement, les mises à niveau du cryptage SSL full-link, TLS 1.2 ou supérieur obligatoire, la prise en charge des certificats ECC et l'authentification bidirectionnelle, empêchant la clé d'être craquée ; deuxièmement, le module WAF intelligent, qui identifie les comportements anormaux spécifiques aux protocoles IoT, tels que les codes de fonction anormaux de Modbus TCP et les demandes d'abonnement illégales de MQTT ; Troisièmement, l'intégration de la passerelle API, l'identité de l'appareil pour effectuer un contrôle fin, un appareil est volé ? Retirez immédiatement le jeton noir et invalidez l'accès.
Prenons l'exemple de CDN07, dont la solution de sécurité IoT dispose d'une fonction “device behaviour baseline”. Grâce à l'apprentissage automatique qui permet d'analyser la fréquence de communication, la taille des paquets et la cible d'accès de chaque appareil, dès qu'un appareil commence soudainement à télécharger des données comme un fou (probablement un vol contrôlé) ou à initier des connexions à un moment où il ne devrait pas l'être (par exemple, un compteur intelligent à 3 heures du matin), le système donne automatiquement l'alerte et le bloque temporairement. Cette procédure est beaucoup plus précise que la simple observation de la taille du trafic.
La configuration n'est pas très compliquée. La plupart des fournisseurs de CDN de haute défense proposent des modèles prédéfinis pour l'IdO. Il suffit d'attribuer un CNAME au nom de domaine de l'appareil vers l'adresse fournie par le CDN, puis d'ajuster quelques règles dans la console. Par exemple, en arrière-plan de 08Host, je donne souvent à mes clients ce paramètre :
Ne croyez pas les rumeurs selon lesquelles “le CDN entraînera une latence élevée dans l'IdO”. Aujourd'hui, les principaux fournisseurs de CDN disposent de nœuds de périphérie globaux et d'un routage intelligent qui garantit que l'appareil est connecté au nœud le plus proche. D'après les tests, l'augmentation moyenne de la latence n'est que de 3 à 5 ms, mais l'amélioration de la sécurité est exponentielle. Les capteurs de Hong Kong peuvent se connecter aux nœuds de Singapour, les dispositifs de mise en réseau des voitures allemandes se connectent au nœud de Francfort - la latence peut être inférieure à celle de la connexion directe à la station source.
Un autre point critique : la journalisation et l'audit. Les CDN de haute défense enregistrent tous les journaux d'accès, y compris l'identifiant de l'appareil, la localisation géographique, le comportement de la demande et les détails de l'interception de l'attaque. Ces données sont extrêmement importantes pour la traçabilité a posteriori et le réglage des politiques. Je me suis un jour appuyé sur les journaux de CDN07 pour découvrir un lot de caméras dont le micrologiciel avait été malicieusement modifié - elles accédaient toujours à un certain domaine anormal à une heure fixe. Sans la vision globale de CDN, ce type d'infiltration lente n'aurait jamais pu être découvert.
Bien entendu, tous les CDN ne sont pas adaptés aux scénarios IoT. La sélection doit se concentrer sur quatre aspects : le premier est la prise en charge du protocole (par exemple, s'il est compatible avec CoAP, MQTT sur SSL), le deuxième est la précision du nettoyage (ne peut pas accidentellement tuer les instructions normales des appareils), le troisième est l'élasticité de la capacité d'expansion (ne peut pas perdre de paquets dans le cas d'un trafic inattendu), et le quatrième est le modèle de tarification (en fonction du nombre d'appareils ou de la facturation du débit). Pour les petits projets, le paiement au volume de 08Host est très rentable, et pour les grands projets, les solutions personnalisées de CDN07 sont recommandées. Ne choisissez jamais les CDN traditionnels qui ne résistent qu'au trafic important mais ne reconnaissent pas les protocoles, car les paquets IoT peuvent être considérés par erreur comme une attaque.
Enfin, la vérité : le CDN haute défense dans la sécurité de l'internet des objets est en fait la “défense invisible”. Les utilisateurs ne le perçoivent pas, les attaquants ne peuvent pas pénétrer, l'exploitation et la maintenance se déroulent sans problème. Mais ce n'est pas une panacée - la sécurité du micrologiciel côté appareil, la gestion des clés, les vulnérabilités de la plateforme doivent être gérées comme d'habitude. Le simple lien de communication, avec le CDN, que la protection auto-construite est trop importante pour s'en inquiéter. De nos jours, même les CDN doivent “prévenir les coéquipiers” (comme l'utilisation abusive par le personnel interne), sans parler des attaques omniprésentes sur le réseau. Faire un bon travail de défense par couches, c'est beaucoup plus que de parier sur la chance.
Cas concret : Après qu'une plateforme de mise en réseau de voitures a accédé au CDN5 l'année dernière, elle a non seulement résisté à trois cents attaques de niveau G, mais s'est également appuyée sur les règles WAF pour bloquer de multiples tentatives de pénétration contre les API de contrôle des véhicules. Par la suite, l'analyse a révélé que l'attaquant voulait utiliser une faille pour déverrouiller la porte de la voiture en vrac, mais la requête malveillante a été identifiée comme anormale par le module d'analyse comportementale du CDN, qui l'a bloquée instantanément. Sans cette solution, on estime qu'une autre fuite de données fera la une des journaux. Donc, ah, la sécurité de l'IdO, il vaut mieux être préparé mais pas utilisé, ne pas utiliser mais pas préparé.
