Galen Hunt 是微軟(Microsoft)傑出的工程師,也是該公司基於Linux的Azure Sphere物聯網(IoT)作業系統總經理。一天他在華盛頓州雷德蒙德(Redmond, Washington)的辦公室裡,一位同事進去向他展示了一個用於Xbox控制器的晶片布圖規劃,其將微控制器(MCU)和無線電結合在一個裸片上。在此之前,他從未見過這樣的設備。

Hunt說,他很快意識到他所看到的東西代表了所謂的「第五代運算」。每年有超過90億個微控制器被製造和銷售,Hunt清楚地意識到很快會有一天幾乎所有這些微控制器將都將連接到網際網路上。他明白,這一天的到來將對公司與客戶互動的方式產生深遠的影響,實現「網路連接的民主化(democratization of network connectivity)」這將成為物聯網的基礎。

但Hunt很快就發現他的驚歎完全被另一種感受替代。在設計自動化大會(DAC)上發表主題演講的他告訴DAC觀眾們,「我很快就產生了第二種情緒,那就是恐懼。」

這種恐懼是有依據的。Hunt是在微軟工作22年的資深專家,曾領導了早期的雲端運算研究,他立即明白了,數十億連接在一起的微控制器意味著將數十億從未打算連接到外部世界的設備連接到了網際網路。而網際網路是什麼?引用一位同事的話,Hunt稱之為「邪惡的大鍋」。

微控制器幾十年來一直是許多電子設備的基本大腦,但直到最近這些設備才被連接到外部世界。微控制器充其量只是具有傳統意義上非常基本的安全性,因為在物聯網出現之前,要攻擊這些設備需要對它們進行物理訪問。

但連網的微控制器改變了這個遊戲規則,增加連接外部世界的能力極大地改變和擴展了微控制器的價值,透過提供一個數位反饋回路,供應商能夠更深入地與客戶互動,但它也同時使得有惡意的人可以透過相同的通道訪問設備。

20190820NT31P1 微軟傑出工程師Galen Hunt在設計自動化大會上發表演講。

截至目前,我們已清楚知道最壞的情況,其中有些已既成事實,有些仍然是理論上的。幾年前,駭客透過控制拉斯維加斯賭場魚缸內連網的溫度計,進入了賭場的資料庫。2013年,駭客侵入一家名為Target的HVAC系統提供服務公司,竊取了Target商場數百萬使用者的詳細資訊。2016年,Mirai僵屍網路在控制了數百萬台連接網際網路的設備後,擊潰了美國東海岸的大部分網際網路服務;駭客們還破壞公共設施和直接入侵連網的汽車。

對Hunt來說,這些例子是為了說明,在物聯網時代每個設備的安全性都很重要。正在構建的設備是否足夠堅實以保證安全功能?這類問題不再存在,因為每個物聯網網路都是一環不強,環環皆弱。以賭場為例:駭客透過看似無關緊要魚缸中的溫度感測器就侵入了賭場的整個網路。Hunt說,一旦進入網路,他們可以留在那裡想多久就多久,因為他們擁有該網路中的一個設備。

「那麼,我們如何確保每年生產的90億顆微控制器的安全呢?」Hunt問。「你可能認為這是不可能的。但我要告訴你,這是可能的,而且是實際可行的。」

Hunt是「高度安全設備的七個特性(The Seven Properties of Highly Secure Devices)」論文的主要作者,該論文描述了(你可能猜到了)該小組成員認為製造安全微控制器所必需的七個特性。微軟聲稱Azure Sphere是一個端到端的解決方案,由基於Azure Sphere認證的微控制器、作業系統和微軟雲端安全服務建構。

Hunt宣揚Azure Sphere是解決物聯網安全問題的解決方案也許並不奇怪。但Hunt還對整個DAC觀眾提出呼籲,無論是否使用了Azure Sphere認證設備,但需要確保創建的物聯網設備具有他論文中描述的所有七個特性。

「確保你正在建構的設備是安全的;確保你購買的設備是安全的,」Hunt說。「我不在乎他們是否擁有Azure Sphere,」他補充道。「我關心的是它們是否安全,因為我想生活在一個安全的世界裡。」

Hunt宣導一種分層安全法。他認為,任何設備都可能遭受執著的駭客攻擊。將保證安全性的努力完全集中在試圖阻止駭客對設備的訪問基本上是徒勞的。「關鍵在於你是否有足夠的安全層來檢測漏洞並及時阻止攻擊。」Hunt說道。

他還建議,構建高度安全設備需要專門的技術知識將不同的安全性零件拼接成無間隙的端到端解決方案。創建和維護高度安全設備需要出色的工程技術、安全專業知識,以及卓越營運。

20190820NT31P2 由微軟和聯發科(MTK)共同開發的實驗性Sopris Wi-Fi微控制器架構。(資料來源:微軟)

安全問題不能事後才考慮,它不是能在出貨前用螺絲固定在設備上的東西。Hunt說,「安全是基石,必須從一開始就將其建置到你的設備中。它必須是你思考過程的一部分,必須成為設計過程的一部分。」

Hunt還提醒,在互連世界中保持設備安全是一個持續的過程,每週7天,每天24小時。克盡職責的安全需要持續的創新,並針對新的攻擊不斷開發應對措施。

「如果你正在構建一個連網的設備,你的工作不會隨著設備交付而結束,」Hunt說。「設備交付時才是麻煩開始時,因為從那一天駭客將開始攻擊你的設備。」

(參考原文: DAC Keynoter: ‘Let’s Secure the Future’,by Dylan McGrath)

本文同步刊登於EE Times 8月號雜誌