Colin Duggan告诉Device Chronicle,物联网设备安全性现在已成为物联网项目的必备条件。 物联网领导者必须计划什么?
评估IoT设备安全性中的威胁和风险
Colin认为理想情况下应该进行威胁/风险分析。 在这样的过程中,您将从评估系统开始。 如果系统很大,例如汽车,则需要确定需要给予特定保护级别的资产。 对于较小的系统(例如远程温度传感器),识别需要保护的东西要容易得多。 物联网项目负责人应Colin建议,请遵循以下步骤:
- 评估风险
- 确定需要解决的风险
- 根据风险定义安全目标
- 基于这些安全目标,定义物联网设备的安全要求
有ISO和NIST提供的最佳做法模板。
看看TPM
物联网项目负责人还必须考虑将安全功能集成到物联网硬件中。 他们必须考虑处理器安全功能和/或可信平台模块(TPM)。 作为独立设备的TPM提供加密功能,安全密钥存储,并且可能包括带有存储器的小型微控制器内核。 它们通常用于需要最高安全级别的应用程序和用例,例如电子护照,信用卡和交通卡。 它们可以抵御直接的物理和侧信道攻击(例如EMI,功率分析以提取秘密)。
其他硬件安全
大多数微控制器和处理器还提供了广泛的安全功能。 Colin说,理想情况下,决定使用哪个处理器时应考虑这些安全功能,因为某些处理器比其他处理器提供的功能更多。 在安全硬件中寻找的主要功能包括:
- 安全启动
- 加密加速器,包括对称和非对称加密,哈希
- 专用处理器内核和内存,用于安全操作,例如密钥的管理和存储
- 能够锁定I / O接口,例如JTAG,UART和SPI
- 可以检测物理篡改的功能
- 硬件支持,例如ARM的TrustZone,用于受信任的执行环境
- 软件工具和驱动程序支持利用了这些功能。
物联网设备安全
然后是要考虑包含在IoT设备中的安全功能。 Colin建议NIST提供一个很好的参考点。 在许多建议中,NIST建议IoT设备具有独特的标识和配置功能。 您可以找到NIST建议here的完整列表。
通过软件的各个方面(例如U-boot,Linux内核以及将在其中存储应用程序软件的rootfs)进行安全引导和信任根扩展,可以进行安全的设备配置。 考虑安全启动自动化工具,该工具可以通过轻松开发将利用处理器中的安全启动功能的安全二进制文件来帮助实现安全设备配置。 这种类型的工具还会生成安全启动和信任根扩展所需的密钥和签名。
保护个人身份数据
物联网设备还必须支持数据保护。 这是关于对敏感数据进行加密,例如受GDPR法规在欧洲保护的个人身份数据(PII),并控制对此数据的访问(例如密码)。 必须对接口进行逻辑访问:这与访问管理和密码有关。 换句话说,只有经过授权的人员和其他设备才能访问该设备。 在美国,有两个州设有密码法,分别位于加利福尼亚州和俄勒冈州。 在加利福尼亚州出售物联网设备时,应格外小心。 无论公司位于何处,如果物联网设备没有用户唯一的密码或身份验证手段,该公司均应承担责任。
进行OTA软件更新
软件更新对于确保IoT设备的安全至关重要。 需要诸如Mender.io之类的软件才能远程更新IoT设备上的软件。 软件更新如此重要的原因是,没有设备是100%安全的。 这在SkyGo辆奔驰汽车中可以看到。 梅赛德斯竭尽全力保护自己的汽车,但SkyGo的安全性研究仍然能够发现许多漏洞。 梅赛德斯拥有软件更新功能,并能够在几天之内关闭数百万辆汽车中的漏洞。
需要安全完成更新,并且Mender.io会执行此操作,即在设备上运行的Mender客户端在将软件下载到IoT设备并启用之前,先对软件工件(软件更新)进行身份验证。 此外,应仅对授权的物联网设备进行更新。 请参阅Triangle of Trust™上的Device Chronicle文章。 Mender.io支持使用PKI加密和令牌进行客户端身份验证的多个流程。 加密更新也很重要。 发送软件更新的渠道可能并不安全,并且以IoT软件形式存在的敏感知识产权可能被盗。 或者,如果该软件以纯文本格式下载,则可以被对手用来对IoT设备进行逆向工程,以发现网络安全漏洞。 在DEFCON 27演示中可以看到多个实例。
网络安全状态意识
Colin还描述了检测设备是否受到威胁的能力的重要性。 如果有,则能够及时报告此情况,并采取适当的措施进行响应和恢复。
NIST的网络安全框架说明了要采取的关键步骤。
入侵检测
设备运行时对攻击的检测由入侵检测系统(IDS)完成。 在IoT设备上实现强大的IDS很重要,因为在设备运行时会对IoT设备进行大多数远程攻击。 这些攻击通常利用诸如缓冲区溢出之类的软件错误,很多时候都与对网络数据包的不正确解析有关。 正如本文在嵌入式计算中指出的那样,TCP IP堆栈以安全研究人员为目标而臭名昭著。
安全制造
安全制造是物联网安全的关键方面。 Colin建议安全密钥管理和软件签名是此处的重要考虑因素。他指出,支持安全启动,信任根扩展和无线更新安全的物联网设备将具有多个安全密钥或证书。这些密钥或证书中的某些密钥需要在设备上保持秘密并受到保护,或者在制造环境和公司中安全存储,以备将来可能使用(例如,密钥撤销)。此外,科林(Colin)建议在制造环境中使用硬件安全模块(HSM)或安全PC,以将密钥加载到每个设备并保持对这些密钥的保护。应为每个物联网设备提供唯一密钥,因为这会降低攻击者侵入该特定设备的价值。如果攻击者可以从单个物联网设备中提取密钥,使他们能够破坏其他设备,那么这就是一个高价值目标。有动力投入大量精力来入侵物联网设备,并可能使用侧通道攻击。早在2016年,我们就看到了恶意软件在Zigbee无线网络中传播以攻击智能灯泡的潜力。
总而言之,请认真对待物联网项目的网络安全,并将安全保护计划纳入物联网产品的设计中,以便您可以预见漏洞,并在产品的整个生命周期中将其与恶意行为者隔离开来。
物联网设备还必须支持数据保护。 这是关于对敏感数据进行加密,例如受GDPR法规在欧洲保护的个人身份数据(PII),并控制对此数据的访问(例如密码)。 必须对接口进行逻辑访问:这与访问管理和密码有关。 换句话说,只有经过授权的人员和其他设备才能访问该设备。 在美国,有两个州设有密码法,分别位于加利福尼亚州和俄勒冈州。 在加利福尼亚州出售物联网设备时,应格外小心。 无论公司位于何处,如果物联网设备没有用户唯一的密码或身份验证手段,该公司均应承担责任。
进行OTA软件更新
软件更新对于确保IoT设备的安全至关重要。 需要诸如Mender.io之类的软件才能远程更新IoT设备上的软件。 软件更新如此重要的原因是,没有设备是100%安全的。 这在SkyGo辆奔驰汽车中可以看到。 梅赛德斯竭尽全力保护自己的汽车,但SkyGo的安全性研究仍然能够发现许多漏洞。 梅赛德斯拥有软件更新功能,并能够在几天之内关闭数百万辆汽车中的漏洞。
需要安全完成更新,并且Mender.io会执行此操作,即在设备上运行的Mender客户端在将软件下载到IoT设备并启用之前,先对软件工件(软件更新)进行身份验证。 此外,应仅对授权的物联网设备进行更新。 请参阅Triangle of Trust™上的Device Chronicle文章。 Mender.io支持使用PKI加密和令牌进行客户端身份验证的多个流程。 加密更新也很重要。 发送软件更新的渠道可能并不安全,并且以IoT软件形式存在的敏感知识产权可能被盗。 或者,如果该软件以纯文本格式下载,则可以被对手用来对IoT设备进行逆向工程,以发现网络安全漏洞。 在DEFCON 27演示中可以看到多个实例。
网络安全状态意识
Colin还描述了检测设备是否受到威胁的能力的重要性。 如果有,则能够及时报告此情况,并采取适当的措施进行响应和恢复。
NIST的网络安全框架说明了要采取的关键步骤。
入侵检测
设备运行时对攻击的检测由入侵检测系统(IDS)完成。 在IoT设备上实现强大的IDS很重要,因为在设备运行时会对IoT设备进行大多数远程攻击。 这些攻击通常利用诸如缓冲区溢出之类的软件错误,很多时候都与对网络数据包的不正确解析有关。 正如本文在嵌入式计算中指出的那样,TCP IP堆栈以安全研究人员为目标而臭名昭著。
安全制造
安全制造是物联网安全的关键方面。 Colin建议安全密钥管理和软件签名是此处的重要考虑因素。他指出,支持安全启动,信任根扩展和无线更新安全的物联网设备将具有多个安全密钥或证书。这些密钥或证书中的某些密钥需要在设备上保持秘密并受到保护,或者在制造环境和公司中安全存储,以备将来可能使用(例如,密钥撤销)。此外,科林(Colin)建议在制造环境中使用硬件安全模块(HSM)或安全PC,以将密钥加载到每个设备并保持对这些密钥的保护。应为每个物联网设备提供唯一密钥,因为这会降低攻击者侵入该特定设备的价值。如果攻击者可以从单个物联网设备中提取密钥,使他们能够破坏其他设备,那么这就是一个高价值目标。有动力投入大量精力来入侵物联网设备,并可能使用侧通道攻击。早在2016年,我们就看到了恶意软件在Zigbee无线网络中传播以攻击智能灯泡的潜力。
总而言之,请认真对待物联网项目的网络安全,并将安全保护计划纳入物联网产品的设计中,以便您可以预见漏洞,并在产品的整个生命周期中将其与恶意行为者隔离开来。
你有任何问题吗? 请单击HERE提问。
Source :
Source :