摘要:过去一年,全球各地的恶意攻击事件大幅增加,相关设备制造商争相为自己当前和未来的技术规划寻找合适的机制,希望利用这些机制来帮助他们防御不断演变的黑客。具体来说,汽车和物联网设备尤其容易遭到一些最新的网络攻击,因此制造商们需要不断增强他们在加密和公钥基础设施 (PKI) 方面的知识,确保其未来的解决方案能够安全地在相关领域发挥作用并拥有更长的使用寿命。他们在软件安全方面投入了大量精力,却很容易忽略硬件选项,但是,如果不同时考虑硬件和软件,则无法实现“自动防御故障”安全保护。最好的深度防御是两种组件的强强联合。本文介绍了物联网、工业物联网和汽车领域的制造商们在设计新一代解决方案时需要调查的一些重要注意事项。
硬件和软件保护对于物联网设备制造商的重要性
众所周知,网络攻击会破坏我们的网络,但遗憾的是,只有在这些攻击发生之后,我们才能知道其规模和破坏程度。最高级的攻击是无法预测的,甚至当它们已经产生影响时,我们可能还毫不知情。未被发现和记录的攻击会继续存留在物联网系统中,导致破坏持续存在更长的时间。面对这些,我们不禁要问:为了应对不可预测的和未知的网络威胁,物联网系统和设备制造商该如何进行规划?
了解网络攻击的复杂性
组织严密的攻击正在以惊人的速度增加,无论是攻击的复杂程度,还是协调配合能力,都经过了攻击者的精心策划。攻击通常与设备和行业无关,无论是私有实体还是公共实体,都会成为攻击对象。近来,许多漏洞主要被国家赞助的组织或组织严密的犯罪集团所利用。他们的最终目标可能大相径庭,其中包括想要获取地缘政治利益、进行钱财敲诈勒索,甚至只是想通过故意破坏系统来证明自己的能力。此类最新攻击中有许多都依赖于一种人们熟知的不断发展的攻击策略:分布式拒绝服务 (DDoS)。
一些最新的 DDoS 攻击主要集中在令网络和网站的功能无法正常使用。2016 年发生了两次比较有名的 DDoS 攻击:一次发生在通过 Akamai 托管的“Krebs on Security”博客网站上,另一次发生在为众多社交网站的关键互联网基础设施提供支持的 Dyn DNS 服务器上。在这两个案例中,攻击者利用物联网设备(如 IP 监控摄像头、DVR 以及其他与目标无关的消费类设备)创建了能够破坏目标(不相关)服务的僵尸网络。在 DNS 事件中,许多常用的互联网服务遭到了破坏,包括 Netflix、Spotify、Twitter、Tumblr 等等。
贯穿在当今众多攻击事件中的共同主题是:攻击者将恶意代码写入通常位于网络附近或边缘位置的设备的非易失性存储中,意图是令该设备成为恶意僵尸网络的一部分。比较常见的情况是,在企业认识到加密安全保护是新设计中稳健周全的基础支柱要素之前,大多数物联网设备便都已部署完毕,这让它们轻易就成为了黑客攻击入侵的最新场地。
深度防御,对抗未知威胁
请务必了解最新的一些软件和硬件安全产品,以便从头开始设计物联网设备,使其具有适当的保护和恢复能力。跨工业物联网 (IIoT) 和汽车等不同行业的各种联盟正在推动形成新的网络安全框架,重点强调实施安全解决方案的最佳做法。工业互联网联盟 (IIC) 发布了工业互联网安全框架 (IISF),强调同时使用软件和硬件,并从整体的角度考虑生态系统和设备级别的安全性。各公司开始竞相在其生态系统的方方面面提供充分的安全保护,但遗憾的是,由于更新这些设计是一项复杂的工作,并且需要一些资源,在许多情况下,物联网端点仍然得不到重视。此外,人们还忽略了这样一个策略:设计具有相应的恶意软件抵御能力的设备,并使之具有适当级别的保护冗余,以防未来暴露出一些意想不到的安全漏洞。
被称为“深度防御”的全面端点安全保护策略可以采用分层设计,如此一来,即使恶意软件能够绕过一个系统安全保护层,也会很快在同一个系统中遇到下一层可能更难以攻破的保护屏障。尽管这种冗余级别听起来可能成本高昂、较为复杂甚至没有必要,但对于零日(未知)漏洞风险不断增加的环境而言,它绝对是实现全面端点安全保护的关键要素。换言之,通过添加保护层,您可以抵御您可能并不知道自己已经遭遇的问题。如果遵循 NIST 的建议使用硬件信任根,这种策略在许多情况下的实施效果都非常理想。一般而言,与在设备或系统级别仅实施软件相比,硬件信任根要可靠许多。
了解硬件信任根和内存
如今的硬件信任根有多种存在形式,许多硬件基元或安全加速器都可以在不同的硅基解决方案中找到。这些信任根可用于强化物联网端点设计,但可能会大幅增加复杂性,此外,要合理地了解并开发这些设计,需要用到大量设计资源。例如,可信平台模块 (TPM)、可信执行环境以及其他充当独立解决方案的安全元素都属于这类情况。系统中已经存在的组件也可能具备其他一些固有安全功能,例如,片上系统的处理器复合体以及系统非易失性存储。重放保护内存块 (e.MMC)、符合 Opal 规范的固态硬盘 (SSD),甚至 NOR & NAND 闪存块锁定等内存保护功能可为整个系统级安全解决方案提供一个额外的保护层。
针对移动中数据的保护(各网络中或整条总线中数据的保密性)通常使用加密来控制,而加密则由加密密钥基础设施进行管理,相应地对数据流进行加密和解密。如果数据的隐私性至关重要,则尤其需要维护加密密钥基础设施。另一项更加容易被忽视的需求是对静态数据的保护。处于静态的关键代码或数据存储在非易失性存储中,直到系统为了启动、执行某个应用程序或运行其他系统功能(如参数管理或更新)而访问它们为止。在许多情况下,各种攻击会通过覆盖这些关键代码来植入持久性威胁,这些威胁则利用所入侵的设备作为工具,最终对生态系统发起僵尸网络攻击。如果对关键代码施加某种级别的加密保护,攻击者植入恶意代码的能力就会被大幅削弱。
网络安全防御体系的发展正在设法跟上网络攻击的发展步伐,因此,充分利用软件和硬件的现有功能是至关重要的。许多安全解决方案供应商正不断涌现,他们推出了更新的集成解决方案,希望加快实施速度,并减轻因将安全保护作为基础设计组件加以实施而产生的设计负担。不要轻视物联网网络边缘处的关键代码保护工作。物联网网络边缘可能会成为安全性最薄弱的位置,如果受到攻击,最终会带来重大的经济负担。
*注:本文作者Jeff Shiner 是美光科技嵌入式产品事业部的细分市场总监。
