近年來物聯網 (Internet of Things) 的蓬勃發展,有關物聯網的議題如雨後春筍般浮上檯面,這當中有關資安的議題正是被廣泛討論的其中一項。雖然資安問題看起來非常龐大與複雜,但實際上有些做法與規範可以參考過去的互聯網經驗,並以其為基礎進而發展成完善的管理機制;筆者認為要實現完整的物聯網安全要考慮的是一個從端到端 (end-to-end) 的整體系統問題,本篇文章將以一份出自於瑞典皇家理工學院(瑞典語:Kungliga Tekniska högskolan,縮寫為KTH)公開的專業報告[1],題目為:Potential Security Risks in Google Nest Indoor Camera(中文參考翻譯:Google Nest Indoor Camera潛在的資安威脅)所整理出來的威脅模式為例來說明如何實現IoT Security的功能以協助連網裝置能夠避免大部分已被分類出來的物聯網安全弱點,並賦能以微控制器為主的設計主體能夠實現物聯網裝置的應用安全。
> OWASP (Open Web Application Security Project)
在前面提到的該份報告,基本上是參照了開源社群的專案OWASP的整理所定義出的連網應用所面臨的一些資安威脅項目,這些項目都是開源社群長期累積出來並且還有進行分類的彙整,文中談到了OWASP Top 10 2017 [2] (2017版本項目和2021有些許不同,本文採用2021版本用詞),也提到了業界存在的一些分析連網裝置可能遭受的資安威脅所採用與評估方法,例如:Weave[3]: 一個通訊協定用以支持符合低功耗、具使用功能彈性和提供連網安全解決方案的做法; S.T.R.I.D.E[4]: 一項由微軟的工程師所提出預先針對資通訊產品可能遭受到的資安威脅項目; DREAD[5]: 一種風險程度分類方法,主要是針對當分析出系統有資安漏洞後,對有心利用這些漏洞所可能造成的損害程度做分類。若以連網裝置為中心來看,例如皇家理工學院的報告所提到的Google Nest Indoor Camera,其真正有關聯整理出來的有三項:Cryptographic Failures、Injection、Identification and Authentication Failures。筆者將會根據報告所列出的攻擊方法與所提到資安評估方法做出詳細的對照說明,可以當作一個連網裝置在產品設計階段時的一種資通安全保障的評估參考方法。另特別申明,筆者並不針對該報告後半部所述的測試結果予以評論,畢竟並沒有照著該報告進行相同的測試,但其所提出的資安評估方法是適合用於分析採用MCU或MPU開發出的連網裝置的安全功能是否能提供物聯網產品所能提供的應用必須要提供的資安保障方法,可拿來當作於連網產品設計規劃階段的一種預先系統資安風險評估工具,詳如表一的說明。
- Analysis of information security issues of Internet of Things products.PNG (92.26 KiB) Viewed 7162 times
> 建立物聯網產品潛在資安威脅分析模型
在表一的說明內容裡,看似有非常多的項目,但我們可以進一步的說明想要闡述的分析行為如下圖。
- 連網裝置資安威脅分析模型範例.jpg (129.42 KiB) Viewed 7162 times
> 依威脅分析的結果或是在列出可能的攻擊方法後選定產品可行採用的MCU/ MPU
當根據圖一所示的資安威脅分析模型對所欲製作的產品或是已完成的產品進行分析時,可以預先了解到所欲設計生產的連網產品必須要事先防範的資安問題,或者是進行裝置原型設計完成後的滲透測試分析。在這過程中,產品的主控晶片,不管是MCU (微控制器) 或MPU (微處理器) ,無疑是電子技術部份的核心考量,本文提出的方法,可以讓讀者有一個簡單的產品潛在資安威脅分析依循,除非產品本身已被要求必須進認證實驗室拿到確定的認證,這個方法不失為一個資安威脅評估參考方法。再者,可以利用這方法,做為挑選MCU或MPU解決方案的依據。新唐由M2351、M2354所開展出的IoT Security特色功能的產品,通過依循Arm與主流業界生態公司支持的Arm PSA認證,在產品設計階段就終端連網裝置開發客戶預先設想到產品應用的場景需要的安全功能,並附上相關的配套軟體服務,可以大幅減低產品開發商在資安議題上的負擔,是市場上最佳的的物聯網裝置開發可採用的解決方案之一。
References:
[1] http://kth.diva-portal.org/smash/record ... swid=-8855
[2] (2017) Top 10 web application security risks. [Online] website: https://owasp.org/www-project-top-ten/
[3] OpenWeave. (2018) What is weave. [Online] website:
https://openweave.io/guides/weave-primer
[4] L. Kohnfelder and P. Garg, “The threats to our products,” 1999.
[5] J. Meierm, A. Mackman, M. Dunner, S. Vasireddy, R. Escamilla,
and A. Murukan, Improving Web Application Security: Threats and
Countermeasures. Microsoft Press, 2003, ch. 3.