如何從容因應物聯網時代安全風險?

作者 : 劉于葦,EE Times China

對於絕大多數人而言,當今物聯網面臨的最大挑戰是安全性。根據英國DCMS的資料,超過45%的受訪者表示,安全性正在阻礙物聯網的普及。根據其他分析,如果安全性更好,超過70%的客戶會增加物聯網產品的購買量。而現實是,目前只有4%的物聯網裝置具有足夠的安全性來滿足當今的基本要求

物聯網巨大的市場中,有著無限的機會。

到2035年,將有1兆台連網裝置,對全球GDP產生5兆美元的影響,可以想像到了那個時候,這將是一件多麼令人興奮的事。而且物聯網具有逆轉或影響氣候變化、提高資源利用率的能力,並基本涵蓋了我們今天和將來工作方式,能夠更有助於疫情後的經濟重建。

「當然,要實現這些,生態系統很重要。傳統生態系統中,一般包括具有產品設計能力的OEM、具有平台的晶片合作夥伴、工具供應商,以及為實現最終目標而存在的各種應用。但是這些舊關係正在改變,新關係正在形成;」在《EE Times》出版集團ASPENCORE於11月5日舉辦的第三屆「全球CEO峰會」上,IAR Systems旗下Secure Thingz創辦人暨執行長Haydn Povey分享了他對於物聯網時代風險和回報的看法。

 

Secure Thingz創辦人暨執行長Haydn Povey透過視訊分享了他對於物聯網時代風險和回報的看法。

 

Povey是IAR Systems嵌入式安全解決方案部門的總經理,同時也是物聯網安全基金會的創始成員——這是一個致力於物聯網安全的非政府組織。他曾在Arm擔任過10年的高級行銷和業務開發職務,期間負責公司在物聯網和M2M市場中的安全性戰略和產品路線圖,並領導了Cortex-M微處理器系列的開發和推介。

多年安全領域的經驗讓Povey覺得,從晶片到雲端、標識和預配、完備的供應鏈、獨特客製化和保護智慧財產權等能力,都是物聯網生態系統「新關係」快速發展的組成部分。

未來,公司高層將為網路攻擊造成的損失負責

對於絕大多數人而言,當今物聯網面臨的最大挑戰是安全性。根據英國DCMS的資料,超過45%的受訪者表示,安全性正在阻礙物聯網的普及。根據其他分析,如果安全性更好,超過70%的客戶會增加物聯網產品的購買量。

而現實是,目前只有4%的物聯網裝置具有足夠的安全性來滿足當今的基本要求,同時全球有超過350萬個網路安全職位空缺。這個領域面臨的問題,確實需要透過使用工具來更妥善解決,而不是簡單地說教。

另一個大問題是,誰將負責因應這些安全挑戰?傳統上,公司在面臨一些大問題時,承擔責任的往往是整個公司層面,但物聯網時代不一樣了。Gartner估計,到2024年,將有75%的CEO (或其他C級高層)將對CPS (Cyber-Physical System,網路實體系統)攻擊導致的系統事故承擔個人責任。以美國為例,聯邦調查局(FBI)、國家安全局(NSA)和網路安全與基礎設施安全局(CISA)已經增加了關鍵基礎設施相關系統威脅詳細資訊的提供頻率,這類系統大多屬於私人企業。不久之後,CEO們將無法對網路安全問題導致的公司損失裝傻,或者躲在保險政策後面。

Gartner還預測,到2023年,網路實體系統攻擊造成的的巨大財務影響將超過500億美元。即使不考慮人生命的實際價值,賠償、訴訟、保險、監管罰款帶來的成本和聲譽損失都將是巨大的。Povey表示:「所以現在起,安全性將升級為大多數C級別高層的關注重點,並像GDPR (General Data Protection Regulation)和隱私問題一樣被迅速納入待辦事項清單,並放在首位。」

安全問題帶來的都是「真金白銀」的損失

安全性或安全帶來的問題,在整個產品生命週期中都具有現實影響,造成的都是真金白銀的損失、影響的都是企業賴以生存的業務,甚至醫院的網路安全出問題還會讓患者喪命。Povey舉了兩個例子:

  • 2019年,挪威海德魯公司(Norsk Hydro)遭遇網路攻擊,據估計損失和恢復成本價值超過5,200萬美元,位列2019年 「代價最高的駭客攻擊事件」第二名。
  • 在2020年9月,德國杜塞爾多夫大學醫院(University Hospital of Düsseldorf )遭到勒索軟體攻擊,導致手術系統崩潰。一名急診患者被迫轉移到更遠的醫院治療,錯過了最佳搶救時間不幸死亡。

Povey表示,這些影響和攻擊正變得越來越真實,越來越普遍,必須通過安全技術來制止這些惡意軟體橫行。雖然採用安全技術防禦的潛在成本、影響以及因此產生的開銷尚不明確,但提升安全性將切實地幫助到一些領域,例如智慧財產權(IP)保護和生產控制,同樣,在許多系統中快速登陸時能夠將設備直接連接到雲端,進行安全身份認證正變得非常重要。

雖然目前有各種立法、產業標準和認證書規定了一些安全性的要求。立法方面目前正在進行審查,即將生效,這對於整個產業的管控是具有真正威力的,並推動整個產業的真正變革。

從智慧財產權盜竊造成的經濟影響來看,據ECIPE (European Centre for International Political Economy,歐洲國際政治經濟學中心)估算,智慧財產權盜竊每年光是對歐盟就有600億美元的經濟影響。這個數字對現實世界經濟的影響而言,令人難以置信,其結果可能會導致近30萬個工作崗位的流失。

此外,還有供應鏈中的仿冒、山寨產品和灰色交易問題。經濟合作與發展組織(OECD)估計這是一個每年產值高達5000億美元的產業,幾乎是愛爾蘭和荷蘭GDP的總和。雖然其中電子產品數量上可能不佔大宗,但肯定是價值最高的一類,這些仿冒或山寨電子產品會影響我們整個產業。

「我們怎麼知道我們的汽車、飛機和消費性電子產品裡用的都是什麼元件呢?」 Povey表示,「因此,我們需要研究立法和標準的演變,以及作為一個產業,我們需要圍繞這一點做些什麼,並為物聯網設計標準。」

世界各地積極立法,規範物聯網安全標準

立法雖然在不斷發展,但這其實是由產業驅動的,至少在消費者領域自我監管不可行,因為這個領域存在著傳統的競爭至上心態,或者說一切基於省錢或賺錢的目標。這也讓普通消費者往往不能理解安全性的優缺點,因為廠商在宣傳產品時很少以這個為賣點,一些物聯網小產品也壓根不具備足夠的安全性。

但一次次血的教訓,讓深受網路安全問題困擾的企業和利益相關者共同推動建立更強大的法律框架,對物聯網產品安全提出具體要求。在美國加州和奧勒岡州,已經對違反相關法律的企業實施了嚴厲懲罰;歐盟和英國這邊,新的EN 303645規範即將完成。

 

歐盟和英國的消費者物聯網法規立法現狀。

 

目前針對物聯網安全立法的指導原則,大都是輕描淡寫,雖然不夠嚴苛,但仍然具有影響,讓消費者的選擇更有透明性、對比性,促進他們對相關話題的交流和分享;在產品設計端則提供了彈性,讓系統在受到威脅時及時止損。

 

美國加州和奧勒岡州已經在州一級立法,從今年1月1日開始銷售的任何裝置都應遵守法律要求確保足夠的安全性。

 

Povey表示,「聯邦政府都沒有做到這一步 (EETC編按:美國是聯邦制國家,各個州在聯邦內部也被視為獨立於聯邦的國家主體,擁有很大的自主權,除了憲法規定的屬於聯邦的權力之外,其他的權力都是屬於州的)。但最近的大選可能會對此產生影響。」

早在9月,美國眾議院一致通過了《物聯網網路安全改進法案》(IoT Cybersecurity Improvement Act [H.R. 1668]),該法案要求國土安全部以及網路安全和基礎設施安全機構(DHS/CISA)提供一個法律框架,保障消費者的網路安全。負責建立標準的是美國國家標準與技術研究院(National Institute of Standards and Technology,NIST),目前標準是IR 8259。

歐盟和美國確實在朝著標準和立法邁進,這也正在影響亞太地區和大洋洲——在奧運會之前,日本內務省就立法定義了物聯網裝置;韓國KISA (網際網路和安全機構)在2020年2月著手推動物聯網服務規劃指南;中國方面,則由政府支持的工作組發佈了官方標準;新加坡正式採用英國DCMS的指導原則;澳洲則採用「自願性物聯網消費者行為準則」(Voluntary IoT Consumer Code of Practice)。

工業物聯網標準先行

其實在消費性物聯網之外,我們看到工業領域的物聯網已經實施了不少標準,其中最相關的是ISA/IEC 62443。該標準的有趣之處在於,它已成為全球政府採購決策中的強制性規定。 如果你要佈建一個控制系統或智慧城市系統,則相關產品必須符合該標準。Povey指出:「有鑒於現在每個廠商的系統都不同,因此幾乎在使用前都必須適當地進行編碼。有趣的是,這在多大程度上影響了需求?」

 

ISA/IEC 62443不同要求的細目分類(詳細法規PDF版下載)。

 

法規中對於安全等級的定義,是最重要的部分,因為它設定了安全操作的等級。從下圖來看,對於大多數現代物聯網應用要達到第2級或第3級安全。當然,所有裝置都至少需要具備1級的基本保護能力,以防止偶發的攻擊,但如果攻擊再強一些,例如心懷不滿的員工蓄意破壞,或惡意軟體機器人,這就需要上升到了2級安全標準了。

 

 

第3級開始,防護重點在於不受複雜手段、特殊技能和動機的傷害。這一級最典型攻擊是勒索軟體,Povey表示,「我們已經見過很多非常高階的攻擊,比如前面提到針對挪威海德魯公司的攻擊。更高層次防護是複雜的,意味著需要擴展更多資源和高度機動性,因為在4級安全定義中,最典型的就是針對國家層面的攻擊。需要再次強調的是,這確實包括因應一些有組織的犯罪和高階勒索軟體攻擊。」

雖然這些東西聽起來像電影或間諜小說裡的東西,但確實是任何工業自動化控制系統都必須要防禦的攻擊,無論是在車輛平台、工業機器人或者是在街道照明上。

那麼,如何在不增加成本和複雜性的情況下,透過設計確保安全?

安全應從設計之初貫徹到量產

回到消費性物聯網的產業準則,在所謂的「13個最佳準則」(13 Best Practices)中,有三個最應該關注。沒有預設密碼首當其衝,因為這給了社交型攻擊機會。重設裝置或許可以讓其功能恢復,但實際上也給了壞人得到密碼的機會。

 

 

「第二點是必須讓漏洞披露平台運轉起來,這對於確保所有客戶、使用者都意識到風險非常重要,這些風險將存在於任何裝置中;」Povey表示,「當然,如果有了漏洞披露政策,還必須遵循第三點——保持軟體更新的能力。這類良好的安全習慣實施起來非常非常困難。」

從開發的角度來看,要在整個物聯網平台上開發唯一身份實現起來非常困難。即每個裝置都真正具有唯一的標識,並且可以對其進行唯一定址、唯一更新和唯一管理,這重要到會影響整個開發和生產流程。

 

 

這需要新一代的工具,雖然目前已經有一些方法可以實現上述功能,但是Povey肯定地說,還有其他方法能使這一切變得更容易,不需要消費者和開發人員去瞭解加密基元、根憑證授權和中間證書這些晦澀難懂的東西,只需透過操作指南和簡單的核取方塊就能實現支持。

但是作為開發人員要有一種思維上的轉變,那就是將安全性放在開發的首位,將其貫徹應用於原型設計中,為將來的批量生產打好樣。一個硬體安全模組,可確保安全地生成信任/身份根,並將其配置(程式設計)到目標裝置中。

 

 

如果在所有連接的裝置中大規模進行此操作,難度很大,但是現在這是強制性的。 如何進行大規模的安全配置和程式設計?Povey認為,它應該非常簡單,就像包含一個用於金鑰生成的證書框架,以便將原型擴展到量產。

關於實施漏洞披露的政策,Povey介紹了他們的漏洞披露平台。該平台允許任何開發人員註冊並披露漏洞資訊,顯示受影響的軟體版本,並允許披露受到威脅的硬體產品。他認為其實每個產業組織、OEM、晶片廠商、工具供應商都必須制定自己的披露政策,必須有高層為此負責。同時必須與消費者保持聯絡和良好的溝通。而不幸的是,目前整個產業在這一領域做得非常差。

交付生命週期管理方面,雖然有很多機制可以做到這一點,但基本上在每個層面上都可能存在折中。現實情況是,更新機制越小,系統引導過程越早,效果也會越好。這就是為什麼要採用構建健壯(robust)、安全的啟動管理器的方法,它支持透過任何一種機制來載入記憶體,這些機制可以保障簽名、加密、格式、版本和更新正確。

 

 

這也可以在作業系統中以及透過應用程式完成,具體取決於許多等級。在大多數情況下,會有多個等級的更新。但從根本上講,必須假定任何複雜程度的軟體都將充滿妥協,而且我們必須能夠適當地進行恢復、修復和更新,因此需要從一開始就具有安全性。

總結

「安全實際上是一種高價值的能力,這不是成本;」Povey表示,「它可以保護你和你的客戶IP免受盜竊,保護使用者免受惡意軟體侵害。消費性物聯網的安全性已經受到法律約束,不幸的是,很少有公司準備就緒。」

雖然工業物聯網已經有了一些強大的安全標準,這些標準現在已成為許多組織的採購要求,但並不是所有你需要的元件都能符合要求。Povey建議閱讀工業物聯網規範以及EN 303645標準,才能更適應不斷變化的經濟形態。

「作為一家工具開發公司,我會儘量把物聯網潛在的風險說出來,但是用好了工具確實可以使安全性變得簡單;」Povey總結,「這應該不難,你也不必是專家,只需按圖索驥來便可以將標準化的安全推廣到每個角落。我認為物聯網時代有很多潛在的回報,也有很多風險,但是透過工具、晶片和應用程式協同作用,我們就可以確保連結的安全。」

本文原刊於EE Times China網站

 

 

掃描或點擊QR Code立即加入 “EETimes技術論壇” Line 群組 !

 EET-Line技術論壇-QR

發表評論