隨著物聯網範圍不斷擴大,甚至將企業、工業和公營事業應用涵蓋在內,物聯網安全性不足的風險也隨之高漲。但想要擴展,甚至為社會帶來好處前,勢必得先保障物聯網的安全。否則,風險過高,相關產業也不會貿然投入。
基於安全性問題不斷升溫,美國國土安全部(DHS)為解決物聯網安全性的挑戰,在2016年11月列出了以下六大原則:
˙於設計階段整合安全性
˙加強安全性更新與弱點管理
˙以經過實證的安全性做法為基礎
˙依潛在衝擊決定安全措施的優先順序
˙提升物聯網透明性
˙連線時小心謹慎
上述原則是相當實用的架構,能讓OEM廠商及使用者認識處理器及搭配軟體所實作的信任架構。以先前多個產品世代為例,可信任架構能幫助設計師打造出更安全的物聯網裝置,使用者也能從連網系統中獲得眾多好處。
路由器可遏止惡意入侵
整體產業顯然未將安全性整合至設計階段,2016年的大規模攻擊事件,就是利用連網裝置的硬體接線預設密碼和開放式網路服務。遭入侵不只是因為裝置安全性不足,更是因為物聯網內沒有其餘的減緩措施。
位在區域網路或網際網路邊緣的路由器,尤其適合用來遏止這類惡意行為,此種做法將物聯網的保全工作託付給ISP,因此難以順利推行,即使ISP不是物聯網攻擊的目標,卻也間接受到波及。隨著越來越多物聯網轉移到成本更高的無線連結,ISP也許會更樂意加強其邊際安全性。
對網路設備公司和處理器供應商而言,此類安全性做法早已司空見慣,像是依封包的資料開始部分過濾封包, 或是套用深層封包檢驗(DPI),甚至是使用IPsec或SSL,多是利用這些通訊協定的驗證機制來保護其傳輸的資料。視處理器效能及網路速度而定,也許能加快這些功能的運作。
另一種偏離這類安全性做法的方式,則是使用者/實體行為分析(UEBA)。此技術進一步延伸經常用來追蹤端點及其通訊的DPI,以及基本的啟發式技巧,利用機器學習方式,從監控封包的巨量資料集合中學習,來找出異常的網路流量,判斷是否為失控的物聯網裝置、資料外洩,或內賊引發的金融詐騙事件。從客戶的現場端,UEBA可透過通用型處理器在軟體內實作,未來則能卸載到專用的機器學習處理器。
責任感較強的物聯網開發人員會在設計階段實作安全性,但他們必須改用不同的方式來選擇處理器,必須將安全性,特別是平台安全性,視為選擇元件時的首要條件。
除了網路安全性功能,處理器實作平台信任功能,進一步延伸ARM CPU的基本可信賴執行環境(TEE)功能。此類平台信任方法能在裝置整個使用壽命期間提供安全保護,包括裝置的製造、投入運行、運作、更新和除役等階段,還有從開機到關機的整個循環。
如此一來,設計人員便能打造出可保護自身完整性的系統,依美國國土安全部的建言,也就是使用「整合安全性功能,以強化裝置本身保護能力與完整性的硬體」。
安全性更新與弱點管理
毫無疑問地,安全性更新與弱點管理同樣是物聯網產業的弱項。對一般使用者而言,安全性與自身最主要的關聯在於:裝置或資料控制權會被駭客奪走嗎?
雖然智慧型手機在這方面跟物聯網裝置一樣脆弱,但智慧型手機已不斷加強其安全性。FBI在2016年曾費勁心力想要從iPhone擷取資料,但Apple讓FBI的任務難上加難。
然而,Apple採用的技術,裝置與物聯網基礎架構的開發人員同樣也能取得。可信賴平台確保只有OEM簽核的程式碼可啟動裝置。此外,還能保護程式碼區塊及儲存於裝置內的資料,為OEM提供建構區塊,限制能於裝置執行的程式碼,就像iPhone只能執行通過Apple審核的程式碼,並透過其應用程式商店下載。
從理想層面來看,物聯網裝置應以可信賴平台為基礎,且出貨時須為零弱點。然而實際上,所有裝置都包含錯誤,而多數都能透過軟體修正。經由可信賴平台,搭配安全佈建與更新工具,即使韌體存在過多錯誤,也能利用儲存在晶片內的特殊加密金鑰來進行更新。其做法是安裝新的韌體與金鑰,同時使舊金鑰失效,如此駭客便無法將裝置回復為先前有效的韌體映像檔。
在安全性更新與弱點管理這個議題下,國土安全部提出一個模糊但引人發想的建議:擬定停產策略。裝置是否應在使用一段時間或收到OEM的訊號後自我除役?這種做法當然可行,只要使用前面提到的安全開機或更新程序:OEM可在廠內設定裝置程式,讓裝置於特定時間後停機,或是推送更新,命令裝置自我終結。
重複使用經過實證的安全性做法
大部分的技術供應商,一向鼓勵客戶善加利用整合至產品內的各項安全功能,亦即「以經過實證的安全性做法為基礎」。透過大量的文件記錄和客戶支援服務,OEM將能妥善利用這些功能。
另外,需要自訂功能的客戶也能利用諮詢服務,相關廠商亦協助進行系統驗證,確認系統符合DHS、NIST和開放網路軟體安全計畫(Open Web Application Security Project)等組織所建議的最佳實務。
技術供應商皆認為善加利用處理器平台的信任功能,應是物聯網設計人員的首要之務,有鑑於其影響力之大。只要能防止未經授權的程式碼執行,許多弱點便會消失。
透明性:透明性可讓物聯網相關產業準確評估可信賴度。物聯網系統使用者必須瞭解潛藏在系統內的弱點,而開發人員則必須瞭解軟硬體元件的潛在弱點。即使是沒有已知弱點可供檢視的情況下,取得對安全性開發流程的能見度,亦有助於正確評估風險。
DHS報告對透明性的討論主要著重於物聯網的供應鏈,並特別點出仰賴低成本、容易取得的軟硬體解決方案的風險。技術供應商在物聯網裝置的供應鏈中扮演關鍵連結角色,可協助OEM提升透明性。在產品使用壽命初期,定義安全製造模式,能讓OEM毋需依賴保密機制,即可載入已簽核的程式碼。
透過此模式將獨特唯一的ID與Salt燒入每一塊晶片,再將這些資訊提供給OEM及其ODM外包製造商,如圖一所示。OEM會產生自己的Salt,技術供應商並不會知道OEM的秘密,而OEM將之託付給供應商的處理器來保護。畢竟,擁有透明性,並不表示得分享所有資訊。
對ODM來說,處理器可在Slat上自行產生一組獨特唯一的公有-私人金鑰組。晶片可以輸出公有金鑰,但無法輸出私人金鑰。OEM可利用公有金鑰簽核程式碼,再交由ODM燒入裝置。
一到現場使用後,處理器會讓裝置在開機時驗證程式碼,並向OEM查證,確保裝置未被複製。同樣的機制也適用於安全韌體更新與裝置除役。總結來說,處理器能讓裝置在整個使用壽命期間保持透明性與完整性。
同時,技術供應商亦明確載明處理器的安全宣告,包括哪些功能超出安全範圍,如此,物聯網相關產業便能評估其可信賴度。
謹慎連線 確保物聯網裝置不受駭
物聯網產業另一項缺失,就是未小心謹慎地將裝置連接到網際網路。很明顯地,設備遭駭可說就是裝置未正確連接所導致,因為這些裝置最常發生意外存取。誰能想到,Target的信用卡終端機竟能經由營造服務公司遠端存取?誰能想到,客戶保全攝影機上的網際網路Telnet連接埠會暴露於風險之中?
如先前所述,客戶現場端或網際網路邊緣的路由器正好位居絕佳的位置,適合用來監控流量、設立網路防火牆、偵測入侵,還有分析使用者/實體的行為。如圖二所示,路由器可作為物聯網裝置的安全代理,設計更為出色或擁有更多功能的路由器,甚至可代替裝置執行一些工作。
圖二 : 謹慎的連線示意圖:安全閘道有助於保護終端節點 |
|
路由器及設計更優異且不受侷限的物聯網裝置也可部署SSL或IPsec,以用來進行驗證、拒絕未授權的網路裝置連線。
保護物聯網安全的工具隨手可得,是否要採用全取決於OEM,另外網路設備公司和ISP也需要提供更高一層的安全性,幫助較無相關措施的OEM防止裝置遭駭。
(本文作者Joseph Byrne、Ravi Malhotra、Geoff Waters任職於恩智浦半導體)