• 晶片資安第一站

(上)物聯網安全:混亂而破碎的標準與認證

物聯網(IoT)設備的安全規範在世界各地不斷改進中,但始終沒有一套具有一致性的準則可全球通用 ─ 而且很可能永遠不會有。如今勉強算得上的,只有一些認證實驗室及認證標章。但這使得物聯網設備設計師很難知道他們的保障是從何而來。在物聯網設備的世界裡,它們不像資料中心有一系列的 ISO 和 SAE 標準,還有一堆最佳實務可供參考;對物聯網設備來說,它們完全沒有可以相比擬的東西。

從某種程度上來說,這正是物聯網設備與系統的多樣性,及其延伸出去的應用程式還有使用案例的功能;然而,這同時也反映出對於許多廉價設備的安全性的疑慮。這些產品往往會連結到更大的系統,而其中包含了不少高度敏感或有價值的資料。

如今,大家的態度開始改變,特別是隨著越來越多的設備連接到網路或互相連接,也因為越來越多成立許久的公司開始制定良好的資安實踐策略。然而,把這樣的概念建構到 IoT 設備或是系統上並不總是那麼容易,關鍵在於安全性與其代價的平衡。當你開始為 IoT 設備添加防護,就必須從最小的層級開始著手,並且一路延伸到底。只是這麼一來,成本就會相應的提升,而且設備也需要更多的電源來維持。這使得產品規格與價格都面臨了挑戰。

設計人員努力朝著這方向改進,卻遇上了瓶頸。即使有許多可供使用的安全認證,但它們幾乎沒有一致性。有些認證在晶片階段執行,而另一些則是專注在整個系統,包含了元件和開發流程。這些認證大多是合規性檢查,並非是獨立的安檢證書。這造成了一個令人困惑的局面,進而使消費者沒有合適的方式去判斷他們所購買產品的安全性。

縮小物聯網資安的範圍

為了確保大規模電腦及網路的資訊安全,我們著實下了一番苦心,讓這些系統坐擁用於重量級資安措施的資源。相反地,物聯網有很大比例是由小系統組成的,而它們大多數都資源有限,且依賴電池提供電力。因此,對於較輕量級的解決方法聲浪漸起 — 然而這並不能視為我們允許降低安全性。

由於物聯網設備多半都是低成本、低功率運行的小型裝置,再加上它的易得性與深度嵌入式的設計,使得它成為了駭客的新歡。然而,它並不像輻射、手機或金融系統,因為明確的人身財產安全以及其它考量,而受到官方嚴格控管。

若要大致歸納物聯網的組織,其中包含了消費性裝置、工業裝置、醫療保健電子產品,有些人甚至將未來的汽車視為物聯網的延伸。這些設備中,每一個品項的需求皆不相同,其中只有醫療保健產品跟汽車產業受到高度控管。

然而,當角色換成消費性電子設備或是一般工業設備時,幾乎沒有什麼指引可以遵循。此外,從業人員還會碰到不同的認證倡議者跟專門推動相關規範跟認證的法規機構及協會。這當中的某些組織來自於政府機構,其他的則是源自工業財團。但實際上它們彼此的關聯性卻不是那麼明確。

根據統計,全球安全性規範目前已經超過 450 個,而且數字仍在繼續增加。數字攀升部分原因來自於不同應用程式的個別需求,但對設計師跟消費者來說,這樣的現象凸顯了潛在的風險。

擴大物聯網資安的範圍

並非所有的物聯網裝置那麼單純。大型企業跟政府機關也使用物聯網設備從多種來源收集不同形式的資料。數據來源可能是工業廠區,或是保險公司,而許多該公司的員工也會在上班時使用他們的個人裝置。

從 DDoS 到勒索攻擊,這些都跟物聯網設備脫不了關係。有鑑於受攻擊系統的多樣性,攻擊者手上握有的資源及其技術熟練度 — 還有不斷增值的資料價值 — 我們很難找到一個長期有效的解決方案。安全性準則建立在已知的攻擊向量上,但是新的威脅卻不斷冒出頭來。

沒有任何一種安全性技術是萬無一失的。只要有足夠的資源跟決心,即使是最安全的設備也有可能會被駭入,就像 SolarWinds 攻擊一樣。我們面臨的挑戰,是在可接受的風險範圍與成本之間取得平衡,並做好準備在受到攻擊時,找出相對來說較輕鬆的復原模式。

政府打好基礎

選擇正確的資安級別本身就是個挑戰,但隨著政府逐漸開始制定最低標準,這無疑是將不確定性推升到新的高點。因為安全性準則會因地區不同而有顯著的差異,某些國家可能對於相關規範相當模糊,而其他的國家則是有相當具體的要求。儘管如此,它們至少建構了晶片製造商跟系統開發商的基準守則。

從歷史上來看,大多數推動美國政策的主要推手來自於美國國家標準暨技術研究院(NIST)。它所制定的準則大多數適用於美國聯邦單位可能會採購的設備;這些準則同時也影響著其他消費性產品,因為聯邦單位未來可能是潛在客戶。

NIST 有幾個特定的安全性規範,如 8259A 和 8259D;前者相對來說較廣泛,而後者則較具體。但芯科實驗室資深物聯網產品經理 Mike Dow 表示,8259D 主要是針對在大型計算機系統,而非物聯網。

NIST 為人所知的安全性規範還有 FIPS 140。這是一個同時影響軟體和硬體的基本加密需求清單。但這份清單裡,除了隨機數生成等可選項目外,其他部分對於物聯網設備來說太過沈重。

除開上述的規範,NIST 的加密演算驗證程式(CAVP)可能更符合物聯網設備的需求。在 CAVP 來說,廠商只需要任選一個 NIST 的演算法去運算,然後去驗證執行在設備上的演算法是否正常運行即可。儘管一個演算法要價 2,000 美金(而且你可能需要不只一種),但相對於整份完整的 FIPS 140 清單,這樣的方式還是比較經濟實惠的;要想跑完整份清單,可能要貴上百倍之多。

與此同時,美國國會正在通過一些新的法律,如 2020 年的物聯網網路安全法;另外還有網路盾法案(Cyber Shield Act),也在今年重新被提出。這些規範很有可能會遵循 8259A,並將其重點放在介面、軟體及韌體更新,還有軟體認證。由這些角度來看,重點會轉向公共簽名檢查以及安全啟動。

反觀歐洲,他們自己有一套 ETSI 準則。在技術上 ETSI 是一個非營利組織,但它所制定的標準規範是被整個歐盟所認可的。他們的物聯網網路安全規範叫做 EN 303 645。從法律的觀點來看,歐盟同樣也通過了自己的歐洲網路安全法案。此法案強化了 ENISA 的地位,其身分為為歐盟認證系統制定基礎技術標準的機構。

不管是美國還是歐洲,他們都傾向於要幫別的國家設定方向,如新加坡,芬蘭或是日本。另外,英國增加了一些他們自己的輕量級需求,而 ISO 則有可能透過 ISO 27402 來統一美國和歐洲的規範。至於中國,則擁有自己的國家密碼管理局等類似機構。

企業財團從中學習

一些民間團體則以政府制定的基礎準則加以延伸,建立出一套具體的指導方針;某些甚至還以此建立起認證流程。但對這些團體來說,真正的挑戰來自於他們並沒有清楚定義出為什麼這些規範是必要的。

他們在寫「關於我們」的描述往往會著重在資安的重要性,但是他們並沒有把自己和其他團體的定位明確出來。事實上,當你讀著這些文字時,你可能會認為每個團體都是唯一存在的機構。當你試圖要了解,到底該遵循哪個機構的準則時,這可能會極度令人困惑。最廣為人知的標準是 Common Criteria 安全評估共通準則,但它是個重量級系統,主要用於智慧卡以及可信執行環境(TEEs);只是它們在適應物聯網市場要求這一塊一直進展緩慢。

舉 FIPS 140 為例,對輕量級裝置來說,它是個很難達到的標準。因此其他團體,或多或少遵循安全評估共通準則的規範,主要是鎖定目標在物聯網裝置。它們不僅僅只是驗證加密執行程序而已。如今,許多機構正在嘗試填補過往規範的不足之處,因為對許多人來說,通過安全評估共通準則的認證並不可行。

原文編譯自:IoT Security: Confusing And Fragmented

Share:
This site is registered on wpml.org as a development site.