物聯網應用商機龐大,然而,隨著各領域應用發展日益蓬勃,資訊安全問題開始逐漸浮現;資安防護的警鐘響起,讓聯網裝置與應用服務轉危為安成了所有生態圈業者的必修課題,不僅雲端業者相繼訂出安全設計規範,各種軟硬解決方案也紛紛出籠。
物聯網(IoT)產品與系統往往存有敏感且私密的資訊,然而,聯網世代的來臨,使得從物聯網端點裝置、網路、雲端/應用及整個生命週期,皆存在各種安全漏洞與攻擊,包含晶片、終端裝置、軟體系統、IT設備,甚至服務供應商等,都有著被竊取資料的風險。也因此,物聯網資安防護顯得更為重要,且相關安全支出也急速攀升。
為能強化物聯網安全,雲端業者如Google、微軟(Microsoft),除了持續推出新技術強化安全防禦外,也開始制定關於物聯網安全設計準則,供產業生態鏈參考,期從設計初始就落實安全觀念;而雲端業者的帶動也驅使晶片供應商、IP業者持續更新旗下產品效能,於滿足規範的同時也趁此強化安全生態的合作。
提高產品防護 安全設計規範陸續出爐
物聯網應用廣泛,資訊安全遂成為物聯網裝置設計重要議題,為此,雲端業者除持續強化資安技術外,也一一提出相關安全設計準則,希望聯網安全能「從頭做起」。例如Google在Android 9.0版本便添加了硬體安全性模組規範,添加了安全元件(Secure Element)的設備可擁有「StrongBox Keymaster」,此一Keymaster HAL位於一個硬體安全性模組內。該模組包含自己的CPU、安全儲存空間、真實亂數產生器以及抵禦套裝軟體篡改和未經授權限刷應用的附加機制;而檢查儲存在StrongBox Keymaster中的金鑰時,系統會通過可信執行環境(TEE)證實金鑰的完整性。
除了Google在Android 9.0增添許多安全規範之外,針對IoT裝置設計和部署,微軟也有個相關的安全準則。例如在微軟官網上的「IoT的安全性最佳做法」一文中便針對IoT硬體製造商/整合者提出建議,其中包含了四點:
1.最低需求的硬體範圍:硬體設計應包括硬體作業所需的最小功能。其中一個範例就是只有在裝置運作需要時才包括 USB連接埠。這些額外功能會讓硬體產生不必要的攻擊媒介,應予以避免。
2.讓硬體具備防護功能:建偵測實體竄改,例如開啟裝置外蓋或移除裝置中的機制。這些竄改訊號可能是上傳至雲端之資料流的一部分,可向操作員提供這些事件的警示。
3.建立周圍安全的硬體:如果COGS允許,請建置安全性功能,例如安全且加密的儲存體或基礎上受信任的平台模組(TPM)的開機功能。這些功能可讓裝置更安全,有助於保護整體IoT的基礎結構。
4.保護升級安全:在裝置存留期間升級韌體是不可避免的。建置安全的裝置升級路徑和韌體版本加密保證,將可保護裝置在升級期間和升級之後的安全。
當然,「IoT的安全性最佳做法」一文並非只針對IoT硬體製造商/整合者,同時也對IoT解決方案開發人員、IoT解決方案操作人員/部署人員,等提出建議。總而言之,為了確保IoT裝置安全防護,雲端業者希望能從產業鏈建立完善的安全設計制度,因此陸續制定相關準則供上、中、下游參考。
不僅制定準則 雲端業者力推安全方案
為提升IoT裝置設計、部署安全,雲端業者除陸續訂定相關準則供上、中、下游產業鏈參考之外,同樣也提供技術支援,像是微軟、IBM皆備有從雲到端的解決方案。
從雲端到終端 微軟積極布局IoT資安防禦
微軟物聯網亞太創新中心總經理葉怡君(圖1)表示,以往產品的設計多是先求有再求好,安全並非是第一考量,很少有人會在產品設計或是推出之時,指出產品的「不安全」;對於OEM、ODM業者來說,當還沒有任何消費者的「使用反饋」時,就直接指出產品安全堪慮是有點「掃興」的。
然而,近幾年創新技術紛起,像是臉部辨識、物聯網、智慧監控等,這些應用開始跟消費者自身隱私息息相關,於是,消費者開始在意個資保護,IoT安全防護需求因而開始提升。除了消費者隱私保密意識興起外,頻繁的資安攻擊事件也是推力之一,例如時常聽到某些明星被駭,雲端儲存私密照片被駭客破解後四處傳送;又或是之前鬧得沸沸揚揚的台積電機台中毒事件,更讓消費者或企業體會到資訊防護重要性。
葉怡君指出,工廠機台中毒、雲端遭駭使得個人私密資料外流等新聞層出不窮,加上歐盟發布「一般資料保護規則(GDPR),讓消費者和企業主的安全意識逐漸高漲,對於產品安全要求上開始從以往的「有就好」,慢慢轉向「高安全、高防護」。因為在IoT時代,到處都有聯網設備,而任何一個點都有機會成為駭客攻擊的目標。
因應此一趨勢,微軟提供雲到端的技術支援。在雲端方面,微軟備有Microsoft Azure IoT平台,該平台結合了持續成長的整合式雲端服務(分析、機器學習服務、儲存體、安全性、網路功能及Web),為資料提供保護與隱私權。同時,微軟的模擬缺口策略會透過由軟體安全性專家組成的專屬「紅隊」,來模擬攻擊、測試要偵測的Azure能力,藉此防範新興威脅,以及從缺口中復原。
此外,微軟的系統能提供持續的入侵偵測與防護、阻斷服務攻擊防護、一般滲透測試,以及可協助識別及緩解威脅的法務工具。Multi-Factor Authentication可為存取網路的使用者提供額外的安全性層級。 此外,針對應用程式和主機提供者,微軟會提供存取控制、監視、反惡意程式碼、弱點掃描、修補程式及組態管理。
至於終端方面,微軟推出強化MCU聯網安全的Azure Sphere方案。微軟Azure Sphere總經理Galen Hunt表示,MCU可說是小型裝置的腦袋,其裝載著運算、儲存、記憶體與作業系統等資源,估計每年內建MCU的裝置部署數量超過90億台,雖然目前僅有少數的裝置聯網,但不出幾年,所有的裝置都將具備聯網MCU。
而Azure Sphere結合微軟在雲端、軟體及裝置技術方面的專業知識,提供實作安全性的獨特方法,從晶片開始並擴充到雲端。換言之,經由Azure Sphere認證的MCU將內建聯網能力和Microsoft Pluton安全技術,並執行微軟所設計的Azure Sphere OS,再連結至微軟的Azure Sphere安全雲端服務,以管理所有Azure Sphere裝置的服務,處理裝置與裝置之間,或是裝置與雲端之間的通訊,可藉由線上故障報告監控所有的安全威脅,還可藉由軟體更新升級安全功能。
葉怡君說明,推出Azure Sphere不代表微軟要開始賣MCU,微軟的專長還是在於軟體和雲端服務,因此仍須跟硬體設計業者合作,例如聯發科、NXP等。Azure Sphere目的在於讓產業能有個「參考設計示範」,因為MCU研發涵蓋許多層面,不是每個業者都有能力自行設計既安全又高效的產品,而Azure Sphere可節省開發複雜度和時間。
葉怡君指出,要確保雲到端的安全性,需要有一個整體的解決方案;同時,雲端業者除了提供技術支援外,也同時扮演一個領頭羊的角色。以微軟為例,有了從雲到端的整體解決方案,意味著微軟相當重視IoT安全,也讓企業主、客戶和消費者理解到安全的重要性。
強化資安防禦 IBM要從OT營運著手
IBM資安防禦協理謝明君(圖2)則指出,IoT安全通常從兩個面向著手。首先是在一開始部署、建置IoT設備的時候,就須著重安全/隱私、確保設備堅固耐用、了解用戶已持續提供安全防護等條件;而在建置都完成之後,接下來的重點,便是營運(Operators of Things, OT)。IoT設備營運時必須要確認所有物聯網資產的安全操作、應用程序/網路安全、用戶/設備認證、監控安全性,以及事故預防等。
謝明君說明,事實上,IoT安全和OT是很難分開的,除設備本身是駭客攻擊對象之外,OT也是易被攻擊的層面之一。根據IBM調查報告指出,IoT技術廣泛用於各式電子產品當中,這些電子產品皆面臨網路風險;其中,IoT應用在營運時受攻擊的風險高達65%,因此,設備狀態即時監控是不可或缺的。
謝明君認為,提升IoT安全其中一個面向,就是強化各領域的OT防禦,包含工業、半導體、醫療設備、消費性電子產品等。這些領域的生產、商業模式雖然都大不相同,但都脫不了OT的範疇,也因此,著重OT的安全是不變的核心目標。而要進一步拉高OT安全,不外乎從人、過程(Process)和技術三大面向切入,對此,IBM皆有相關解決方案。
像是IBM QRadar User Behavior Analytics(UBA)就是一個提供早期發現內部人員威脅的應用程式,可分析內部人員的使用型樣,以判斷其認證或系統是否已遭到網路罪犯的損害。應用程式配備有以使用者為中心的儀表板,可依名稱及其異常活動來顯示有風險的使用者,以及QRadar關聯的發生事件。只要按一下滑鼠,就能將可疑物件新增到監看清單、使用文字型註釋來說明觀察項目,或往下探查底層日誌和流程資料。
又或是IBM X-Force方案,安全專家使用一系列國際資料中心來收集成千上萬的惡意軟體樣本,以分析網頁及URL,並執行分析以對潛在惡意的IP位址和URL分類;使用者可以使用這項資料來識別及重新修補環境中的非預期活動,以防止它威脅網路的穩定性。
謝明君表示,IoT安全已談論了一段時間,不過,目前對於OT的防護概念仍有待推廣。根據IBM自身的統計報告顯示,有74%的業主沒有針對OT進行風險評估;而有78%的業主針對OT沒有特定的防護策略;同時還有81%的比例沒有具體OT安全事件因應計劃。也因此,在IoT安全防護當中,雖說每種應用對應的安全模式不大相同,但共同的目標皆應加強OT防禦;而IBM在日後也會扮演認知的橋梁,除了繼續提供技術支援外,也會加強推廣OT防禦的重要性。
強化聯網安全 IP/晶片商總動員
物聯網攻擊事件層出不窮,為了防止聯網裝置受到威脅,同時也在雲端業者積極訂定安全設計準則的推動之下,IoT安全需求勢將會更進一步的高漲,為此,IP與晶片商也全力投入研發相關方案,進一步強化硬體安全設計。
Arm具備妥善防護措施 軟體/硬體/通訊三管齊下
Arm物聯網裝置事業群亞太商務拓展資深總監姜新雨(圖3)指出,進行IoT安全防護時,基本上會先將攻擊方式分類,而目前最常見的攻擊手段為通訊和軟體攻擊,之後才是硬體設備的物理攻擊(分侵入式/非侵入式)。
姜新雨說明,通訊和軟體攻擊較為普遍的原因在於,駭客不需要直接接觸設備,可以透過遠端的方式植入惡意代碼或是擷取資料,花費較少的成本;而物理攻擊時間、成本和風險都較高,因駭客需要接觸或是拿到實體設備。
因應常見的通訊和軟體攻擊,安全方案供應業者幾乎都有相對應的措施,例如Arm便透過TrustZone實現可信執行環境,防止常見的軟體攻擊手法。另外,針對通訊安全部分,Arm則是有mbed TLS方案,使開發人員可以非常輕鬆地在嵌入式產品中加入加密和SSL/TLS功能。
據悉,mbed TLS庫提供了一組可單獨使用和編譯的加密元件,且還提供了構建於加密元件上的中央SSL/TLS模組,以及為SSL和TLS提供完整協議實施的抽象層和支援元件。
然而,雖說通訊攻擊、軟體攻擊是比較普遍的方式,但物理攻擊也是不容忽視。姜新雨表示,物理攻擊可分為侵入式和非侵入式,但重點都是要能靠近或是接觸設備,而物聯網日趨發達,更多帶有高價值資料的裝置被連接起來,物理攻擊對駭客亦更具吸引力,慢慢有駭客願意花費更多時間,採用更先進的手法進行物理攻擊。也因此,物聯網裝置在設計的時候,開始逐漸加上防範侵入式/非侵入式的安全設計,而Arm也針對這個趨勢,於近期推出新一代IP「Cortex M35P」。
據悉,Cortex-M35P為首款融入防竄改設計的Cortex-M系列處理器,內含Arm TrustZone技術,提供堅實的軟體隔離,設計者更容易迅速將多層式付款或電信認證安全機制嵌入到任何裝置的核心之中;若是如果產品要求功能安全,Cortex-M35P亦收錄一個支援ISO 26262認證的安全封包。簡而言之,該產品造就嵌入式安全機制,可協助開發者擋下物理竄改攻擊,讓產品取得更高層級的安全認證。
然而,物聯網裝置百百種,各種安全需求都不相同,為了讓IoT裝置製造、設計商能更快速的實現安全設計,Arm也於2017年推出了平台安全架構(Platform Security Architecture, PSA)。姜新雨說明,PSA事實上就是一種參考服務,因為物聯網的產品、應用相當廣泛,不可能針對每種裝置推出不同的安全方案。因此,PSA便是匯整產業中大部分的安全基本需求,提供IoT裝置製造業者參考,接著再一步步的依據其需求加以分析、規畫、執行,進一步的強化安全性。
提升資料保密性 NXP強化MCU效能
恩智浦(NXP)大中華區MICR行銷經理黃健洲(圖4)指出,在IoT概念興起之後,許多產品會透過OTA(Over The Air)的方式進行更新或資料傳輸,也因此,IoT製造商或是雲端業者開始重視資料傳輸的過程中是否會被竊取;另外,隨著穿戴式裝置、VR等新興應用出現,越來越多消費者個人資料上傳到雲端,這也讓消費者擔心自身的資料有天是否會有外洩或是被盜的可能,因此,安全意識逐漸高漲,也引起雲端、晶片業者的重視。
恩智浦資深應用工程師陳則理(圖5)表示,除了上述兩個原因之外,另一個因素在於現在的雲端服務比過往強上許多,針對消費者、企業的應用不斷浮現;同時,由於人工智慧(AI)的興起,數據、資料變得十分「值錢」,當資料開始變得有價值的時候,安全考量也會隨之而起,數據保密需求日益增加,也越來越重要。
因應此一趨勢,NXP備有LPC55S6x系列MCU。該系列產品是首款基於通用Cortex-M33的微控制器,並採用Armv8-M架構,使得性能和安全功能更上一層樓。同時,該系列產品增添TrustZone-M和輔助處理器擴展,大幅提高訊號處理效率,並使用專有DSP加速器,使運算的時脈週期減少了10倍。此外,該系列MCU基於40nm NVM的處理技術,具備成本效益優勢,提供廣泛的可擴展封裝和記憶體選項,包括MCUXpresso軟體和工具生態系統及低成本開發板。
讓資料傳輸更Safe 獨立安全元件趁勢起
IoT安全需求增,除帶動IP、MCU等朝更強防護效能發展外,獨立安全元件(Secure Element)的興起也是一大趨勢。英飛凌(Infineon)大中華區數位安全解決方案事業處經理江國揚(圖6)表示,從2019年上半年的觀察來看,公眾對安全概念的認知正變得廣泛,但仍需協調產業鏈上下游做出更積極的部署以防患於未然。公眾對安全概念的認知一方面來自各大安全方案廠商更加積極的推動,另一方面也來自於對重大安全事件或漏洞對社會、家庭及個人影響層面的擔憂。
江國揚進一步說明,依據不同的攻擊目標駭客會選擇不同的攻擊方式,軟體攻擊、通訊攻擊、硬體攻擊都會是駭客可選的攻擊介面。就目前已知的攻擊案例來看,針對硬體的攻擊呈現出日益上升的態勢,且通常針對硬體的攻擊對用戶帶來的影響更為隱蔽也更為直接。因此,要強化物聯網安全,須圍繞三個主要概念,其分別為機密性、認證性和完整性,而這些概念可以表示為:
1.敏感性資料在傳輸與儲存的過程中是否受到保護?
2.物聯網系統(設備、伺服器等)的各組成部分如何鑒別它們的身分?還是通過數位技術偽裝的?
3.物聯網系統中的這些元件是否受到損害或感染?
而要滿足上述條件,採用安全晶片做為系統各組成部分的安全可信任根,是個適合的方式。已有越來越多的廠商正加強導入分離式安全硬體晶片,而因應物聯網應用對晶片安全的各種需求,英飛凌開發出OPTIGA系列產品,包括OPTIGA TPM作為一個標準化的、功能豐富的安全解決方案,以及OPTIGA Trust系列(Turnkey解決方案)。
江國揚指出,物聯網包含諸如智慧家庭、智慧工廠或更多其它應用領域,不同的應用領域因其場景化的差異會引發不同的技術趨勢和安全需求。這裡面存有共性的地方,就是隨著網路互聯互通能力的深入普及,以及網路及設備智慧化程度的快速提高,都會不斷優化其業務模式及核心競爭能力,而對AI、大數據、雲端運算等技術的結合和依賴又會催生基於安全與隱私保護方面的挑戰,並演化為對更高等級安全部署的需求。
江國揚進一步透露,英飛凌之所以強調基於分離式硬體安全晶片加強安全防護,是基於深度預防的部署策略,並從安全需求演化、攻防演練、安全產品定義,安全產品開發與測試,協力廠商全球權威安全認證等一系列能夠形成閉環的流程輸出解決方案。
這種解決方案可以有效地對設備身分認證、資訊的安全加密、資料的完整性保護等各個層面進行有效地加強,而這些加強是不作任何安全防護甚或僅基於主處理器的軟體機制不能比擬的。
另一方面,除了英飛凌之外,因應物聯網安全需求,NXP除了LPC55S6x系列MCU之外,也有SE解決方案「EdgeLock SE050」。該產品為隨插可信安全元件(Plug & Trust Secure Element)系列,從邊緣到雲端保障工業4.0和物聯網的安全應用,且經過通用標準(Common Criteria, CC)EAL 6+認證,讓實現高效能感測和控制安全變得簡單。此外,它還簡化了物聯網服務部署,以及從邊緣裝置到公有雲和私有雲、邊緣運算平台和基礎設施的部署過程。
陳則理指出,如上所述,雲端應用越來越多,意味著雲端與IoT設備間的資料傳輸愈來愈頻繁,要確保這些資料不被竊取,過程中就需經過許多的加密、憑證/認證保護,以及金鑰儲存。而SE元件的重點就在於強化資料傳輸時的保護,因為SE是個獨立的安全元件,其效能和內部的儲存空間都比MCU多,以金鑰儲存的數量為例,若MCU最多儲存2~3把金鑰,SE的數量能達到數十把,這對駭客而言,攻擊的難度便因而增加不少。
黃健洲也表示,雲端與設備間的互聯越來越多,而每家雲端業者的憑證、運算需求都不一樣,因此保護元件需要更多的儲存空間,容納更多的金鑰憑證或加密等,針對這樣的需求,SE元件的需求也逐漸增加。
從雲落實安全設計 IoT裝置有保障
總結來說,物聯網如今成了各行各業重要的發展主軸,而其帶來的資安危機也引發各界高度關注。為了消弭各種物聯網潛在資安風險,雲端業者除了相繼制定相關安全設計準則外,也持續提供安全技術支援,至於IP、晶片業者則是隨著雲端業者的積極推動,研發更高效、更強防護能力的產品;從雲到端安全防護逐步落實,將可更有效的避免計畫縝密的駭客攻擊,確保物聯網裝置安全保障。