• 晶片資安第一站

論網路安全性:來自半導體產業角度的分析

在過去十年,我們見證了半導體銷量第一次突破一兆大關;半導體產業也看到了客製化特定應用積體電路(ASICs)跟現場可程式化邏輯閘列陣(FPGAs)的成長。預計在 2025 年,全球將會有 416 億的連接設備產出 79.4 ZB (Zettabytes = 10 億 TB)的數據。因其隨處可見的普及性還有相對薄弱的安全性,物聯網設備對攻擊者來說成為了一個極具價值的攻擊目標;也因此,對於這些設備的保護需求也相當迫切。

隨著越來越多的領域開始運用到物聯網,如汽車產業,醫療產業以及基礎建設,安全性漏洞可能會造成嚴重的後果,像是巨大的經濟損失。以往的資安事件通常只會涉及隱私不保、財產損失,未來人們可能會因為資安事件失去生命,更甚者,威脅到國家的安全。

然而,我們談到網路安全時,往往只會想到軟體安全;但為了要設計出一套有完整保護性的系統,單單倚靠軟體安全是不夠的。跟一般認知所相反,許多安全措施必須實施在硬體層級。針對硬體/晶片/半導體安全,我們有著以下幾種施行的途徑:

安全性架構與設計

其著重在安全性設計並建議將系統切割為數個具有適當的權限並可執行內部通訊的子系統。要做到這樣,一種方法是採用多個獨立的安全層級架構(MILS 架構),這樣的架構裡有建構安全區域。這種架構的原則是建立在分隔以及控制資訊流程。剛開始,這樣的架構是為了抵抗外來攻擊使用的,但如今它被其他涉及高整合性系統的產業所廣泛運用。

實行深度防禦:物聯網安全性必須要分層控管,才能讓攻擊者必須費上好一番功夫才有辦法獲得重要數據。舉例來說,可以考慮「邏輯加密法」;這是種透過在設計時嵌入金鑰閘門,來避免供應鏈中不被信任的個體進行盜取智慧財產權。然而,要是金鑰密碼被曝光,邏輯加密法就可能遭到快速破解;因此,康乃爾大學的研究專家提出了深度防禦的方法,根據可能的攻擊模式來保護加密金鑰。

硬體信任根(HRoT)

硬體信任根將核心安全機制建構在實際的硬體上,它同時也讓安全機制執行相關功能,像是安全啟動,安全金鑰/簽名儲存,記憶體保護,確保韌體安全和軟體更新,單晶片系統外圍設備的訪問操控措施,還有可信執行環境(TEEs)等。

確保閘道器安全

在物聯網網路裡,閘道器扮演著收集所有數據的樞紐中心。因其特殊地位,閘道器會遭受各種惡意攻擊,像是身分偽造,竊聽,中間人攻擊(MITM),資料探測,干擾等。為了因應這些威脅,一個包含了七層分層安全措施的開放式系統互連模型是必要的。

除了確保通訊介面的安全外,閘道器本身也必須受到保護。為了達到這個目標,其中一個辦法是使用建立在硬體信賴根功能上的可信執行環境(TEE)的信賴平台模組,並提供可安全儲存身分驗證資訊的環境,以及加密操作程序的安全執行。

安全驗證

物聯網設備透過閘道器連接到外部世界,而設備跟閘道器們必須建立起它們自身的強式識別身分。這個識別身分被使用在安全驗證,好確保當設備跟閘道器與外部世界連接時,這個連結是建立在跟合法的設備連接,而不是來自於不可信的詐欺來源。

現今,專用的安全晶片都有辦法安全儲存對稱與非對稱加密金鑰,同時抵禦各種加密攻擊。當為該設備提供了一組獨有識別身分,這些晶片也提供了加密數據,驗證設備、數據和命令的功能,就像 IEC 62443 要求的一樣,如此一來,就能顯著的減少未經授權的存取機會。

安全性生命週期管理:物聯網安全性必須涵蓋了設備的整體生命週期,並包含了設計、製造、安裝、使用以及退役後的所有階段。比方說,想像一個場景:我們只因沒有相關的電子廢棄物措施,就要銷毀某個設備;這個即將報廢的設備卻被重新使用,並在沒有經過授權的情況下連結到了安全服務。

從 SolarWinds 供應鏈攻擊裡,我們學到一個慘痛的教訓就是,即使是來自於最可信來源的軟體,也可能會有問題。因此,必須在整體生命週期還有整體供應鏈的架構下解決相關安全問題。

保護物聯網的 13 條原則

以下為澳洲與英國政府參考歐洲電信標準委員會的標準 TS 103 645,共同提出的物聯網安全實踐準則:

  1. 不要使用重複、預設或是強度太弱的密碼:所有的網路設備都應該使用強度高且獨特的預設密碼。使用者應該要在第一次使用該設備時更換密碼;設備也必須確認使用者設置了強度足夠的密碼。
  2. 實行漏洞揭露措施:每天都有新的漏洞問世,因此,建立通報機制讓安全專家能把漏洞通報給相關製造商是非常重要的。製造商也應該在修補程式到位時誠實揭露漏洞,好令使用者可以安裝修補程式。
  3. 確認軟體安全完成更新:製造商應該在整體產品生命週期中提供安全的修補程式;應該要有時不時的確認,確定韌體在更新之前都有被驗證;而被降級到較不安全的版本是不被允許的。
  4. 安全儲存身分驗證資訊:身分驗證資訊應該要以安全的方式儲存,像是加密並最好是是在一個安全的元件裡。
  5. 確保個人資訊是受到保護的:對產品來說,隱私不但是一個加分的條件,在法律上來說更是個強制要求的條件,如 GDPR 所規定的一樣。然而要做到這個程度,就需要盡力確保數據安全,像是使用加密機制,並要求所有參與的各單位在處理使用者數據時遵循最佳實作規範。
  6. 將攻擊表面最小化:設備應該提供最小的權限給行程跟使用者來完成他們的工作。同時,任何的硬體介面,如聯合測試工作群組(JTAG),序列埠或是軟體介面這些不會牽涉到產品運作的通訊埠,都應該受到保護。
  7. 確保通訊安全:數據的傳輸與儲存應使用產業級標準的加密演算法。
  8. 確保軟體完整性:像是安全啟動這樣的功能應運用在確保設備在任何一個運作的時間點都不允許執行任何無法辨識的軟體。
  9. 準備冗餘系統與備份:各種物聯網子系統中應包含冗餘和備份資料以確保系統不會因為子系統發生問題時變得無法運作。
  10. 監控系統遙測數據:遙測數據代表了該設備的健康度,並透過使用該設備的行為來幫忙辨識該設備是否遭受損害。
  11. 讓使用者可以輕鬆刪除個人資訊:這在轉移該設備的所有權,或是需要報廢該設備時特別有用。在設備裡應該要有易於使用的選項,使使用者可以導出或是刪除個人儲存在該設備的資訊。
  12. 簡化設備安裝或維護的任務流程:許多安全漏洞都是來自於設備的錯誤安裝流程。保留好說明書以及容易上手的生命週期安裝指示可以使得這些設備更好的保護自身。
  13. 驗證輸入的數據:處理未經驗證的使用者輸入數據會引起大規模攻擊,我們稱之為注入式攻擊。類似這樣的攻擊的例子有程式碼注入、資料隱碼攻注入攻擊等。使用者輸入必須先行經過安全措施,確保它沒有包含任何可以被執行的元件且所提供的參數也都在範圍內。

半導體產業的資安標準、指引以及框架

安全性是相當難以量化的一種特性,但如果企業能夠遵循一定的標準、指引或框架,就能夠確保產品安全性具備一定水準。以下是目前各國常見的相關規範:

標準:有相關資安標準(資訊安全管理系統 ISO/IEC 27001),也有產業專屬的標準來支援由設計端出發的安全原則,解決網路安全風險並緩解同時在硬體層級和軟體層級的安全漏洞。產業專屬的網路安全標準,舉例來說有針對道路車輛的 ISO/SAE DIS21434 跟針對工業自動化跟控制系統的 ISA/IEC 62443;ISA/IEC 62443 也廣泛運用在其他產業上,像是鐵路,醫療設備,能量系統,跟物聯網等。某些標準專用於物聯網生態鍊,包含了美國國家標準暨技術研究院的 NIST 800-183、國際電信聯盟電信標準化部門的物聯網參考模式、物聯網參考模式ISO/IEC CD30141,還有針對消費型物聯網的歐洲電信標準協會 ETSI TS 103645。

指引:這些監管者以及產業專家經常發布指引文件來管理網路安全風險,包含了美國汽車工程師學會發布的 SAE J3101_202002(地面車輛的硬體安全保護措施),SAE J3061A(車輛虛實整合系統的網路安全指南),美國醫療儀器促進協會的AAMI TIR57: 2016(醫療設備安全準則-風險管理)以及美國食品藥物管理局所提出的網路安全準則。

框架:除了這些標準之外,尚有一些網路安全框架,例如美國國家標準暨技術研究院的 NIST 網路安全框架,其中包含了管理風險的最佳實作規範。這個框架主要著重在五項功能:辨識、保護、偵測、回應以及修復。此框架是建構在國際標準之下,適用於各種類型的風險管理並包含了預防性跟反應性的處理方式。物聯網安全基金會(IoTSF)也定義了整體框架,其引用了產業標準的網路安全規範(如英國網路安全要略,美國國家標準暨技術研究院的網路安全框架,以及 ISO 27000 等)

總結

沒有一劑良方可以一次性解決所有安全問題。我們需要開始處理信任根,並建立起一套由標準驅動的認證生態系統;要這麼做的原因是因為一次成功的網路攻擊可以輕易的摧毀系統間的信任關係。

未來,安全性將是所有產品的必備條件,而且必須先天建構在系統之中 ─ 因為產品開發完成後就難以再強行強化安全性。我們應該使用自動化且合乎標準的工具,如 LDRA,在設備生產出來前,辨識並隔離掉網路安全漏洞。這樣一來,就有辦法在遇到網路攻擊時,大幅的省下重新設計 PCB 板或是災難性的系統故障成本。

原文編譯自:Cybersecurity in the context of the Semiconductor Industry

Share:
This site is registered on wpml.org as a development site.