帳號:
密碼:
智動化 / 文章 /

資安問題升級 安全晶片提升物聯網防護能力
資安防護必須進化
[作者 王岫晨]   2022年10月27日 星期四 瀏覽人次: [2859]

物聯網應用已然成為科技產業中不可或缺的一環,各類中長程的無線連網技術如雨後春筍般出現,然而相對的,卻也衍生許多資安方面的技術議題需要探討。隨著物聯網的快速普及,物聯網不僅運作節點數量更多、設置地點更廣泛,運算架構也更多元,在此態勢下,要打造出高安全等級系統的難度相當高。


此外,觀察目前物聯網的資安事件,除了從攻擊大量節點設備或與雲端的連線弱點著手外,也會從後端平台的連線弱點著手,因此對於如閘道器、路由器、交換器等網通設備內的安全架構設計,也逐漸成為廠商在設計階段的關注焦點之一。如何確保網通設備內的系統安全,並保障兩端訊息的可信度與完整性,已經成為整個物聯網安全機制中不可或缺的一環。


晶片功能是與市場需求緊密連結的,趕不上時間的產品,將會賠掉很高的成本,因此市場需求一旦出現,如何迅速搶佔市場是很重要的,這與快速搶到市場佔有率並大幅增加營收的成功率息息相關。要贏得消費者,在這個需求快速變化的市場上,產品更新換代時間點抓緊很重要,產品可以預先考慮功能的新趨勢,進入市場越早,贏得的利潤時間越長,所獲取的總利潤也就越多。


複雜架構造成威脅

物聯網資安事件,除了從攻擊大量節點設備或雲端的連線弱點下手外,也會從後端平台的連線弱點著手。

根據一份由Acronis旗下網路防護營運中心(Cyber Protection Operation Centers)所製作的年中資安報告指出,2022上半年內,就有近半數的資料外洩案件均與憑證遭竊有關,引發因網路釣魚和勒索軟體造成的漏洞。調查結果突顯出資訊安全需採納更全面性的防禦方法。


網路資安事件層出不窮,若想預防必得先了解有哪些管道為網路犯罪者的慣用手法。為獲取憑證與其它敏感資訊,網路犯罪者偏好利用網路釣魚和惡意電子郵件作為攻擊媒介。有近1%的電子郵件含有惡意連結或檔案。此外,研究顯示網路犯罪者也會利用惡意軟體來攻擊未修補的軟體漏洞,藉此竊取資料並讓組織成為受威脅對象。另一項使網路安全威脅狀況更加複雜的因素,便在於非傳統途徑的攻擊日漸擴大。最近的攻擊者,紛紛選擇將加密貨幣及去中心化的金融系統做為首選手段。成功運用這些途徑進行的攻擊,已造成數十億美元的損失,更導致大量資料外洩。


這些攻擊之所以能夠發動,起因皆為IT架構過度複雜,這是企業內常見的問題,因為許多技術部門主管都認為,只要導入越多廠商和程式就能提高安全性,但實際上卻是相反。複雜度的提升會對潛在攻擊者揭露更多表面區域以及漏洞,讓組織更可能受到威脅並造成破壞性的傷害。


降低工廠營運風險

資安事件不只是發生在物聯網的應用上。現階段企業端與工廠端開始進行TI與OT的融合,加速數位化轉型。過程中不斷發生的工業資安事件時有所聞,這也顯露出要隨時自行升級、更新保護其通訊網絡對於工業環境來說普遍存在著一定的難度,這也使得工業環境的風險居高不下,隨時面臨著資安的威脅。因此,專為工業領域量身打造的資安解決方案,也成為近年來工廠營運不可或缺的重要議題。


資安即國安,半導體產業對於台灣來說更是重中之重,加上半導體產業仰賴許多高科技機台進行生產,無論是無意或惡意的行為致使機台出現問題,其影響層面及損失遠比一般資安事故來得更加嚴重。TXOne Networks(睿控網安)執行長劉榮太表示,現今工控環境面臨嚴峻威脅情勢,一不留意就有可能讓資安管理與設備資產的保護陷入困境。SEMI E187這項專為半導體產業設立的資安標準規範從制定到發布歷時三年,針對機台設備之電腦作業系統、網路安全、端點保護、資訊安全監控等層面設立標準,其目的在於消除外部供應鏈攻擊、內部威脅以及其他潛在網路安全脆弱點。


然而,如果要將SEMI E187標準規範付諸實踐,則需仰賴整體供應鏈夥伴的共同努力,包含建立新的資安流程,再到部署更好防護機制,共同構建更具韌性的供應鏈。台灣身為全球半導體製造重鎮,擁有完整的上、中、下游產業聚落以及先進製程技術,然而半導體產業若要保持高度競爭力,除了技術研發持續創新,維持穩定的生產效率與品質也至關重要。隨著全球首個半導體資安標準SEMI E187正式上路,對於作業系統、網路安全、端點保護,以及資安監控等構面,將可以更全面強化關鍵設備,並降低資安風險。


安全晶片的重要性

安全晶片(Secure Element;SE)是一種設計用於防止未經授權入侵的晶片,通常於其上運行一組既定的應用程式,並儲存機密與加密數據資料。通常在智慧手機和平板電腦、硬體加密的電子錢包和其他相關設備上,都會使用到這種安全晶片。這種晶片可以儲存並處理包括PIN碼、密碼、指紋、支付資訊等機密訊息。



圖一 : 在進行支付的交易期間,安全晶片可以協助授權交易並保障其交易安全。
圖一 : 在進行支付的交易期間,安全晶片可以協助授權交易並保障其交易安全。

在應用上,對進入晶片系統的身份限制,可以決定安全晶片所具備的防護能力程度。首先,這種安全晶片不能被安裝任何額外的應用程式,它的所有軟體都是預先安裝的。其次,只有受到信任的應用程式(例如數位電子錢包)和設備(例如POS終端機)才能讀取或寫入晶片。採用安全晶片最重要的目的,就是在於應對許多已知的攻擊行為,安全晶片還可以應對許多已知的攻擊,尤其是旁道攻擊(又稱側信道攻擊;Side-channel attack)。


一般來說,安全晶片可以透過硬體來提供下面的防護功能:


●檢測駭客攻擊和修改嘗試;


●為加密系統創建信任根(RoT)平台;


●提供用於儲存私人加密密鑰、銀行金融卡詳細資訊,和其他資訊的安全儲存器;


●產生隨機的安全加密;


●產生密鑰,例如用於非對稱加密的私鑰和公鑰。


在應用上,安全晶片對於數據安全至關重要,在許多領域上都會用得到這樣的晶片。其主要應用大致如下:


●驗證:不僅可以透過用戶名稱和密碼來保護線上使用者的權限,還可以透過晶片內部儲存和處理的憑證,來強化身份驗證,保護使用者的安全。安全晶片的身份驗證可用於登錄關鍵的服務,例如VPN或企業的電子郵件。


●電子簽名:安全晶片可以儲存用於對文檔或其他數據進行數位簽名的密鑰,以及簽名的生成。更重要的是,密鑰不會發送到任何地方,因此無法被惡意程序攔截。


●非接觸式支付:安全晶片可用於透過行動設備來進行非接觸式支付的場合。所有支付的資訊都儲存在安全晶片上,這種晶片使用NFC技術來與支付終端系統直接通訊。


●加密貨幣與電子錢包:使用了採用安全晶片的專用設備,不論是加密貨幣或者電子錢包,都是儲存公鑰和私鑰的最可靠方式。


●生物特徵數據儲存:安全晶片也可用於生物識別護照上,透過這種安全晶片可以確保敏感數據安全地被儲存。


安全晶片應用層面廣

安全晶片就是一種微處理器晶片,可以儲存敏感數據並執行支付等安全應用程式。它可以擔任保險庫,保護安全晶片內包括應用程式和數據資料等內容,免受主機(即設備操作系統)中典型的惡意軟體攻擊。安全晶片可以用來處理現代消費者的數位生活至關重要的各種應用,包括:


驗證

透過安全晶片中所儲存和處理的憑證,對在線服務的登入可以透過身份驗證機制來保護,而不是只使用用戶名稱和密碼。因此,要登錄VPN或企業電子郵件,可能會在後台使用安全晶片,以確保登入者就是本人。


電子簽名

應用程式可以透過安全晶片,來使用儲存在此安全晶片中的密鑰,對文檔或任何數據進行數位簽名。這密鑰可幫助安全晶片解鎖加密的數據,以便讀取。這目的很簡單也很重要,就是用來證明登入者就是本人。另外,在使用電子郵件時,就可以連接到安全晶片來對使用者所發送的電子郵件進行數位簽名,或者政府機構的網路應用程式,也可以在使用相關的數位服務時,進行登入。


行動支付

在使用行動支付的過程中,安全晶片可以安全地儲存卡片與持卡人的數據,並管理加密數據的讀取。在進行支付的交易期間,安全晶片可以協助非接觸式支付卡的授權交易並保障其交易安全。安全晶片可以嵌入在手機中,也可以嵌入在使用者的SIM卡中。


生命週期管理

最重要的是,在使用安全晶片的嵌入式設備中,其整個生命週期內必須都是可以確保安全的。這就是為什麼安全晶片需要有一個端到端的安全策略。一般來說,為使用一段時間後變得過時的設備來開發強大的安全解決方案是沒有實際效益的,因此安全晶片必須要可以不斷更新,來以應對新產生的威脅。


安全晶片的應用層面很廣,因此可以透過以下幾種方式之一來執行:


●可以作為行動設備,例如可以用在通用積體電路卡(Universal Integrated Circuit Card;UICC)中,或者在Micro SD卡中;


●可以用於嵌入式安全晶片(eSE);


●可以用於雲端服務。


保障物聯網應用安全


圖二 : 物聯網應用已然衍生許多資安方面的問題。
圖二 : 物聯網應用已然衍生許多資安方面的問題。

以意法半導體所推出的STSAFE-A110安全晶片為例,這是為了保障安全而生,資安防護等級為EAL5+,也支援目前市場上使用率高的ECC及AES演算法,並進一步為了滿足客戶的資安需求,提供晶片的個人化服務。


STSAFE-A110於ST自有並通過安全認證的工廠量產,在出廠前燒錄並內建在該晶片中的憑證;若客戶欲使用安全連接AWS或Azure並大量自動化註冊設備的功能,ST也可以為客戶燒錄AWS及Azure相容的憑證。採用這種高安全認證並提供個人化服務的安全晶片,客戶在量產時不用擔心金鑰保存、外包或代工廠燒錄是否安全的疑慮,可以幫助客戶從生產環節到產品功能,都具備高強度的資安防護能力。


另外值得關注的是,物聯網安全監控的應用逐漸廣泛,無論是城市中的公共空間或企業大樓、工廠廠房,都不難見到運作中的攝影機。過去安全監控攝影機多為封閉式系統,隨著網路時代的來臨,IP攝影機逐漸成為主流,相較以往封閉式架構安全監控系統,IP攝影機可透過連網機制賦予影像更多應用範圍,業者也可經由網路設計快速提升管理效益。


不過在強化效益的同時,IP攝影機也因為連網功能讓有心人士有機可乘,在此態勢下,IP攝影機的安全問題就浮上檯面。 網路安全監控系統的資安設計過去一直被忽視,也因此在駭客眼中,此一漏洞百出的系統成為最易入侵的選擇。


尤其是IP攝影機,不僅位於無人看管的戶外,且系統未有相關防範措施,被駭的機率大幅升高。舉例來說,前幾年出現某國的大量IP攝影機成為駭客DDoS(阻斷攻擊)的跳板而不自知。


就在被駭事件不斷出現後,市場開始意識到IP攝影機資安的重要性。要強化IP攝影機的資安防護機制,可導入ST的安全晶片。此晶片具備先進的標準認證的安全保護功能,可為用戶安全載入與雲服務業者相容之證書的服務,能夠使用戶確保只有如IP攝影機之類的授權連網裝置,連上線上服務,並可自動大量註冊裝置到提供此服務的雲端,為用戶節省生產及初始化所需的程序並解決潛在的安全問題。


結語

現在的資安威脅持續進化,而且還能規避傳統的安全防護措施。無論何種規模的企業,都需要全面性的資安防禦。隨著網路犯罪手法越來越縝密,而攻擊往往也能透過讓物聯網相關應用造成相當程度的嚴重損害,而這些損害都難以憑藉單層防禦和單點解決方案就能加以保護。


為了解決這些威脅,需採取多層級的解決方案,透過這些資安防護工具,就能有效避開網路攻擊的機率、降低攻擊成功造成的損害、並且保護在過程中可能遭竄改或竊取的資料,以確實保障物聯網與使用者的隱私與財產安全。


**刊頭圖(source:cerberus-laboratories.com)


相關文章
五大策略 提升企業物聯網競爭力
謀財駭命鎖定製造業
專攻低功耗工業4.0應用 可程式化安全功能添防禦
利用物聯網發揮智慧電網優勢
PLC串起物聯網智慧製造
comments powered by Disqus
  相關新聞
» Akamai Connected Cloud打造分散式雲,全新Gecko計畫結合雲端與邊緣網路
» MIH攜手BlackBerry IVY 開創下一代電動車連網服務新紀元
» AI浪潮來襲!伺服器面臨高熱密度挑戰 Vertiv協助矽谷主機代管商在既有機房突破散熱瓶頸
» 歐洲航太技術展在德國盛大展開,全球吸睛 鐳洋推出衛星通訊整合方案,目標搶佔龐大的歐洲衛星商機
» 工研院攜手歐洲6G-SANDBOX 搶進歐盟研發平台
  相關產品
» u-blox全新PointPerfect GNSS定位校正服務 達cm級準度
» Microchip推出首款用於加強FPGA設計的防護工具
» ST推出高整合度電隔離Sigma-Delta調變器 讓測量更精確可靠
» ST推出新STM32WB無線微控制器 整合節能與即時處理性能
» u-blox最新多頻時序解決方案 首度同步支援L1和L5 GNSS訊號


刊登廣告 新聞信箱 讀者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 遠播資訊股份有限公司版權所有 Powered by O3
地址:台北數位產業園區(digiBlock Taipei) 103台北市大同區承德路三段287-2號A棟204室
電話 (02)2585-5526 #0 轉接至總機 / E-Mail: webmaster@hope.com.tw