物聯網安全
英飛凌/GlobalSign合推新方案 簡化IoT設備認證
認證機構(CA)暨物聯網(IoT)身分驗證和安全解決方案供應商GMO GlobalSign,近日與英飛凌(Infineon)共同推出一項解決方案,能夠輕鬆、安全地將設備註冊至微軟(Microsoft)的Azure IoT中心和 IoT中樞裝置布建服務。這項合作計畫將複雜的設備身份整合變得更為容易,並為從晶片到雲端的物聯網設備安全提供了一個可靠的方法。
該解決方案的核心方式是由GlobalSign全球公認、已通過WebTrust認證的CA,對英飛凌內部 CA 進行交叉簽署認證,從而提升英飛凌自身發行的、儲存在OPTIGA TPM SLM 9670上的認證可信度, 並能通過 GlobalSign根CA進行認證。憑藉全球公認和信賴的簽署認證,每個英飛凌TPM即可在全生命週期中,隨時透過物聯網身份平台連接到GlobalSign物聯網邊緣註冊登記中心(IoT Edge Enroll),便可以可驗證的身份和安全可信度無縫註冊到微軟的Azure雲端。
GlobalSign物聯網解決方案副總裁Lancen LaChance表示,只有建立戰略性的創新合作,才能確保健康、安全的物聯網生態系統變得更強大。GlobalSign和英飛凌、微軟Azure等關鍵技術夥伴合作,為共同的客戶奠定成功的基礎。英飛凌嵌入式安全部門副總裁暨總經理Juergen Rebel指出,設備的專屬身份驗證是安全連接至雲端不可或缺的部分。透過該公司全新的OPTIGA TPM整合套件,客戶可在不到一小時內完成設備與微軟Azure IoT 雲的安全連接。
藉由這項新的解決方案,設備在Azure系統中的安全註冊過程被大幅簡化。微軟Azure IoT事業部副總裁Sam George表示,所有註冊至 Microsoft Azure 的設備都必須擁有經過驗證的身份,因此有效、安全的設備身份至關重要。英飛凌攜手GlobalSign,將系統整合商和解決方案供應商安全地進行Azure設備註冊所需進行的工作量減到最少,嘉惠供應鏈中的每個參與者,為 Azure 註冊提供了一個安全、簡便的選項。
在供應鏈中加入經過交叉簽署認證的TPM...
落實辨識與可視化 新興IoT裝置安全看得見
趨勢科技先進應用市場開發部資深經理鄭朱弘毅說明,遭受駭客入侵的NASA噴氣推進實驗室,由加州理工學院代管,主要研究火箭推進技術。從2018年至2023年代管預算高達150億美元,其中包含NASA所要求的IT轉型計畫。實驗室內部大約有二萬多台桌機、三千多台伺服器,運行操作的標準作業程序皆必須符合美國國家標準與技術研究所(NIST)提出的CSF資安規範。近期爆發的進階持續攻擊(APT)事件,導致500MB的火星計畫相關資料遭竊,經過事件調查還原真相後發現,該攻擊活動已潛伏超過十個月,最初滲透入侵的破口則是一台被設置在內部、未經批准的樹莓派(Raspberry Pi)嵌入式單板電腦。
就NASA監察長辦公室公開的調查報告來看,顯然是裝置控管方面出現遺漏、網段分割未能及時阻止橫向移動、樹莓派的系統漏洞未安裝修補更新遭利用,再加上對於事件應變的控管疏失,才讓APT攻擊有機可乘。制度上,噴氣推進實驗室對於資產的控管都有標準規範,針對外部可接入的系統逐一列管,可依據人事時地物進行記錄,成為CIO與各個系統管理者溝通的依據。然而,被攻擊者滲透的樹莓派卻未登錄,成為可被利用來執行滲透的破口。
近年來本土高科技製造業的研發團隊習慣採用樹莓派執行開發任務,此資安事件正可為借鏡。對於IT管理者而言,欲確保資安風險得以被控管,首要必須建立內部聯網裝置的可視性,才有能力依據工作流程配置相對應的控管措施。至於新興物聯網場域的實作,鄭朱弘毅建議可交給趨勢科技等專業資安廠商規畫與部署,運用端點安全防護、入侵偵測系統、應用程式白名單等機制來實施,並且在樹莓派的系統中安裝代理程式,以具備基本的保護能力。對於建置資安防護措施的評估則是關鍵,必須綜合考量組織文化、工作流程、資產重要程度、員工意識等面向,才能制定真正可行的政策。
趨勢科技先進應用市場開發部資深經理鄭朱弘毅提醒,企業大量部署聯網裝置已經是不可逆的趨勢。
數位轉型需求帶來的資安新挑戰
傳統 IT 資安措施力有未逮
資訊安全的框架,若講到連網裝置,不外乎五個構面:裝置確認 (Identify)、裝置保護(Protect)、事件偵測 (Detect)、事件回應 (Respond)、修復彌補 (Recover)。透過這樣的框架,企業在這一層一層的交錯防護網裡面,即使無法百毒不侵,也能將資安事件的衝擊降到最低。然而,面對越來越多非傳統的連網裝置,這樣的框架在實際執行上,越來越不像字面上看來這麼容易。當裝置無法部署安全軟體,甚至無法被確認,後置的偵測、事件回應與修補,顯然都斷了鏈。
NIST網路安全核心框架,資料來源:NIST
巨大的損失竟來自不起眼的裝置
2019年六月,一份來自美國太空總署 (NASA) 的內部調查報告,為業界敲響了一聲警鐘。NASA下屬的火箭推進實驗室 (JPL),確認遭到駭客攻擊,與火星計劃相關的資料 中,有一筆500MB內含23個重要文檔,已確認落入駭客手中。調查報告明確顯示這是一個標準的 APT 攻擊案例,跟其他案例相似之處在於本案目標明確,滲透潛伏期也夠長。另一方面,引起資安人員注意的,則是這個攻擊的發動起點是一個名為樹莓派 (Raspberry Pi) 的開發裝置。
「我們無法禁止研發工程師使用樹莓派並接入公司網路,因為這是現今科技產品開發的常態。然而我無法知道這個裝置何時上線,現今也沒有相對應的標準套件可以安裝在樹莓派上面來確保資訊安全,這才是我們的恐懼。」類似的訪談對話重複出現,也讓趨勢科技的資安團隊開始思考一個根本性的問題 – 有沒有可能取最大公約數,在現今的企業環境中,用標準化的方式來保護樹莓派這個被廣泛使用的裝置?如此一來,樹莓派的存在,不再成為企業資安框架的破口,讓研發人員以及網管人員,都可以欣然接受樹莓派作為開發工具的便利,同時不失其安全。
各種介面一應俱全的樹莓派 資料來源:RaspberryPi.org
趨勢科技成為市場先行者
順從市場的需求,趨勢科技將其物聯網安全套件中的主要功能,如入侵防禦 (IPS)和白名單管理等等,整合為標準化的樹莓派安全套件,同時也開發了一套簡易的應用程式,幫助網管人員找出企業網路中的樹莓派裝置。深入市場兩年,趨勢科技不僅保護了許多企業中的非傳統裝置,更發現許多大型企業開始大量部署樹莓派裝置,為企業內部提供特規的網路服務。為加速數位轉型的腳步,企業的研發團隊無不枕戈待旦、追求新技術與新應用,而負責資安的您,面對多平台、多設備的複雜環境所帶來的資安挑戰,自然責無旁貸!
IoT設備資安事件資訊看板示意圖,資料來源: 趨勢科技
作為資安人,您是否理解物聯網裝置在企業內部的安全狀態呢?不如先從這個問題問起:駭進 NASA 的樹莓派,您的企業中有多少個?
讓物聯網安全向下紮根 Microchip推Trust Platform方案
安全是物聯網產品設計重要環節,有鑑於全球各地的連網裝置數量和類型持續攀升,但安全方案供應商通常只支援大量訂單的設定與配置,使得預算較少、規模較小,或較缺乏安全專業知識的企業只能使用防護能力較低的安全解決方案。為此,Microchip宣布推出首個預先配置解決方案「Trust Platform」,為低、中、高數量裝置部署提供安全金鑰儲存,促使各種規模的公司都能輕易落實安全認證。
Microchip安全產品事業部副總裁Nuri Dagdeviren表示,Trust Platform為硬體式安全方案,共分為三層式產品,分別為Trust&GO、TrustFLEX以及TrustCUSTOM。
首先第一層Trust&GO提供Zero Touch預先配置安全元件,裝置憑證會預先編寫、載入並鎖定在ATECC608A安全元件中,用於自動化雲端或LoRaWANTM身分驗證的用戶引導。同時,相應的憑證和公開金鑰以「Manifest(清單)」檔的形式發送,該manifest檔可透過Microchip的線上商店與經銷合作夥伴來下載。該方案除節省開發時間外,也能大幅簡化部署後勤配置,使大眾市場客戶可以輕易地保護和管理終端裝置,而不會衍生出需要第三方廠商配置服務或憑證管理中心的間接成本。
第二層TrustFLEX提供使用客戶所選擇憑證授權中心的彈性,同時仍然可以從預先配置的使用案例中獲益。這些使用案例包括基準安全措施,例如傳輸層安全(TLS)強化的身分驗證,其可用於使用任何憑證鍊、LoRaWAN身分驗證、安全啟動、OTA無線更新、IP保護、使用者資料保護與金鑰輪換來連接到任何IP網路。這減少了在不需要客製化零件料號的情況下進行裝置客製化所需的時間與複雜性;而對於希望完全客製化自身設計的客戶而言,第三層TrustCUSTOM則提供了客戶特定組態功能與客製化憑證配置機制。
Dagdeviren指出,為了讓所有規模的企業(特別是中小型)都能夠更輕易的實現安全設計,Trust Platform的最大特點便是不只是支援「大規模訂單」(一般是數十萬顆以上才出貨),而是可以滿足小量訂購需求。像是Trust&GO最小訂購量只需10個就能出貨,而TrustFLEX最小訂購量為2,000個;另外TrustCUSTOM最小訂購量則為4,000個。
Microchip安全產品事業部副總裁Nuri Dagdeviren表示,Trust Platform方案,目的在於讓所有規模公司的硬體式安全在執行上更簡易。
Dagdeviren說明,物聯網安全設計不容忽視,在軟體式安全解決方案頻繁被攻擊的情況之下,突顯出硬體式安全方案的必要性。然而,對於中小型企業而言,若要購買硬體式安全方案,加上連上雲端進行部署,需要再額外花費不少成本;且一般安全方案供應商的訂購量都要數十萬顆以上才會出貨,使得中小企業在安全設計上遭到不少挑戰。為此,該公司才會推出Trust Platform方案,其目的在於讓所有規模公司的硬體式安全在執行上更簡易並符合成本效益,並消除了傳統上裝置設定與配置方面的障礙。
從雲端到終端 微軟積極布局IoT資安防禦
為提升IoT裝置設計、部署安全,雲端業者除陸續訂定相關準則供上、中、下游產業鏈參考之外,同樣也提供技術支援,微軟物聯網亞太創新中心總經理葉怡君表示,以往產品設計多是先求有再求好,安全並非是第一考量,很少有人會在產品設計或是推出之時,指出產品的「不安全」;對於OEM、ODM業者來說,當還沒有任何消費者的「使用反饋」,就直接指出產品安全堪慮是有點「掃興」的。
然而,近幾年創新技術紛起,像是臉部辨識、物聯網、智慧監控等,這些應用開始跟消費者自身隱私息息相關,於是,消費者開始在意個資保護,IoT安全防護需求因而開始提升。除了消費者隱私保密意識興起外,頻繁的資安攻擊事件也是推力之一,例如時常聽到某些明星被駭,雲端儲存私密照片被駭客破解後四處傳送;又或是之前鬧得沸沸揚揚的台積電機台中毒事件,更讓消費者或企業體會到資訊防護重要性。
葉怡君指出,例如工廠機台中毒、雲端遭駭使得個人私密資料外流等新聞層出不窮,加上歐盟發布「一般資料保護規則(GDPR),讓消費者和企業主的安全意識逐漸高漲,對於產品安全要求上開始從以往的「有就好」,慢慢轉向「高安全、高防護」。因為在IoT時代,到處都有聯網設備,而任何一個點都有機會成為駭客攻擊的目標。
因應此一趨勢,微軟提供雲到端的技術支援。在雲端方面,微軟備有Microsoft Azure IoT平台,該平台結合了持續成長的整合式雲端服務(分析、機器學習服務、儲存體、安全性、網路功能及Web),為資料提供保護與隱私權。同時,Microsoft的模擬缺口策略會透過由軟體安全性專家組成的專屬「紅隊」,來模擬攻擊、測試要偵測的Azure能力、防範新興威脅,以及從缺口中復原。
此外,微軟的系統能提供持續的入侵偵測與防護、阻斷服務攻擊防護、一般滲透測試,以及可協助識別及緩解威脅的法務工具。Multi-Factor Authentication可為存取網路的使用者提供額外的安全性層級。 此外,針對應用程式和主機提供者,微軟會提供存取控制、監視、反惡意程式碼、弱點掃描、修補程式及組態管理。
至於終端方面,微軟推出強化MCU聯網安全的Azure Sphere方案。微軟Azure Sphere總經理Galen Hunt表示,MCU可說是小型裝置的腦袋,其裝載著運算、儲存、記憶體與作業系統等資源,估計每年內建MCU的裝置部署數量超過90億台,雖然目前僅有少數的裝置連網,但不出幾年,所有的裝置都將具備連網MCU。
而Azure Sphere結合微軟在雲端、軟體及裝置技術方面的專業知識,提供實作安全性的獨特方法,從晶片開始並擴充到雲端。換言之,經由Azure Sphere認證的MCU將內建聯網能力和Microsoft Pluton安全技術,並執行微軟所設計的Azure Sphere OS,再連結至微軟的Azure Sphere安全雲端服務,以管理所有Azure Sphere裝置的服務,處理裝置與裝置之間,或是裝置與雲端之間的通訊,可藉由線上故障報告監控所有的安全威脅,還可藉由軟體更新升級安全功能。
葉怡君說明,推出Azure Sphere不代表微軟要開始賣MCU,因微軟專長還是在於軟體和雲端服務,因此仍須跟硬體設計業者合作,例如聯發科、NXP等。Azure Sphere目的在於讓產業能有個「參考設計示範」,因為MCU研發涵蓋許多層面,不是每個業者都有能力自行設計既安全又高效的產品,而Azure Sphere可節省開發複雜度和時間。
葉怡君指出,要確保雲到端的安全性,需要有一個整體的解決方案;同時,雲端業者除了提供技術支援外,也同時扮演一個領頭羊的角色。以微軟為例,有了從雲到端的整體解決方案,意味著微軟相當重視IoT安全,也讓企業主、客戶和消費者理解到安全的重要性。
安全是回家唯一的路 Nokia領航鐵路數位化轉型
近期台鐵普悠瑪列車發生出軌事件,導致上百多人死傷的重大事故,引發大眾對於鐵路交通安全的疑慮,更激發政府與人民對於鐵路安全的重視。為了強化鐵路交通安全避免憾事再度發生,諾基亞(Nokia)建立智慧通訊網路系統,推動鐵路數位化轉型,打造一條人們可以安全回家的道路。
Nokia交通產業部門全球副總裁Jochen Apel表示,通常交通基礎建設需要維持數年的運作,故必須要有前瞻的眼光提早做準備。展望2030年,全球人口數量預計將成長至84億人口,對基礎設施與自動化運輸的需求也將與日俱增,這也意味著2030年的智慧交通運輸市場將有倍數的成長空間。
從技術角度來看,5G的發展也將成為鐵路交通的催化劑。Apel談到,隨著5G標準的底定,將開放更多頻譜資源,使鐵路運輸或各類型的企業營運的網路建置,不再受限於通訊服務供應商(CSP);舉例來說,鐵道運輸產業可藉此建構自有核心網路,不僅強化資訊傳遞的即時性,更可確保網路的可靠性,對基礎鐵路建設環境將有根本的改善。此外,5G標準跳脫出以往通訊技術僅專注於行動通訊領域,會有更多應用聚焦在垂直應用領域,將其自動化發展推往更高層次。
針對鐵路交通安全的維護,Nokia主要聚焦於點對點的安全技術,透過智慧通訊網路系統技術,結合頻寬、物聯網和雲端技術,建置一套可靠的安全網路系統,幫助鐵路交通進行數位化轉型,從而降低營運成本,同時提供乘客更好的交通體驗。
據了解,維護作業是鐵路營運商最大運營成本,約占總運營費用的50%。為了改善營運成本,Nokia日前已與Altran合作開發一種簡化的預測性車輛維護解決方案,其借重Nokia在物聯網、網路分析方面的專業,加上Altran在鐵路運營的應用、分析與系統整合專業知識,為火車製造商的車輛提供預測性維護,最大限度地降低營運商的維護成本。
事實上,Apel透露,該公司目前正協助瑞士聯邦鐵路(SBB)與德國鐵路(Deutsche Bahn)建立智慧軌道交通環境,其能藉由Nokia智慧通訊網路系統,改善乘客搭乘體驗,同時滿足營運商操作上的優化與網路安全。