不安全世界里的邊緣安全性
發(fā)布時(shí)間:2021-08-01 來源:M. Tim Jones 責(zé)任編輯:wenwei
【導(dǎo)讀】隨著嵌入式網(wǎng)絡(luò)設(shè)備成本的下降,現(xiàn)在它們已經(jīng)無處不在了。但是,這種快速擴(kuò)散的一個(gè)隱藏成本是:這些設(shè)備可能缺乏安全性,因此可能被攻擊。如果沒有做好安全措施,設(shè)備可能會(huì)泄露視頻、圖像或音頻等私人信息,或者成為僵尸網(wǎng)絡(luò)的一部分,在全球范圍造成嚴(yán)重破壞。
嵌入式帶來的安全隱患
隨著嵌入式網(wǎng)絡(luò)設(shè)備成本的下降,現(xiàn)在它們已經(jīng)無處不在了。但是,這種快速擴(kuò)散的一個(gè)隱藏成本是:這些設(shè)備可能缺乏安全性,因此可能被攻擊。如果沒有做好安全措施,設(shè)備可能會(huì)泄露視頻、圖像或音頻等私人信息,或者成為僵尸網(wǎng)絡(luò)的一部分,在全球范圍造成嚴(yán)重破壞。
01 邊緣計(jì)算概括
邊緣計(jì)算是一種將集中式計(jì)算資源轉(zhuǎn)移到更靠近數(shù)據(jù)源所在地的范式。它具有多個(gè)優(yōu)勢(shì),包括:
● 可斷網(wǎng)工作
● 響應(yīng)速度更快
● 各級(jí)計(jì)算需求之間的平衡得到了改善
圖1:邊緣計(jì)算架構(gòu)圖顯示了云基礎(chǔ)設(shè)施與邊緣聯(lián)網(wǎng)設(shè)備之間的關(guān)系
(圖源:貿(mào)澤電子)
如圖1所示,云基礎(chǔ)設(shè)施管理邊緣設(shè)備。物聯(lián)網(wǎng)(IoT)設(shè)備通過邊緣設(shè)備(如邊緣網(wǎng)關(guān))連接到云,以盡量縮小全局通信范圍。
說明性圖表顯示了一個(gè)框,左側(cè)的云基礎(chǔ)設(shè)施連接到中間的云內(nèi)的互聯(lián)網(wǎng)。然后邊緣設(shè)備連接到右側(cè)的互聯(lián)網(wǎng),3個(gè)物聯(lián)網(wǎng)設(shè)備連接到邊緣設(shè)備。
根據(jù)總部位于德國的統(tǒng)計(jì)數(shù)據(jù)庫公司Statista估計(jì),2018年,全球共有230億臺(tái)連接到物聯(lián)網(wǎng)的設(shè)備,專家預(yù)計(jì),到2025年,這一數(shù)字將增至750億臺(tái)。針對(duì)物聯(lián)網(wǎng)設(shè)備的Mirai惡意軟件在2016年中斷了數(shù)百萬人的互聯(lián)網(wǎng)訪問,說明這些設(shè)備需要更好的安全性。事實(shí)上,當(dāng)攻擊者發(fā)現(xiàn)某個(gè)特定設(shè)備的漏洞時(shí),就可以將該漏洞大規(guī)模應(yīng)用于其他相同設(shè)備。
隨著越來越多的設(shè)備擴(kuò)散到邊緣,這些設(shè)備的風(fēng)險(xiǎn)也隨之增加。聯(lián)網(wǎng)設(shè)備是攻擊者的共同目標(biāo),他們可以利用這些設(shè)備引起關(guān)注,或者更常見地?cái)U(kuò)展僵尸網(wǎng)絡(luò)。下面,我們就來探討一些保護(hù)邊緣計(jì)算設(shè)備的方法。
02 保護(hù)設(shè)備
要探討設(shè)備并理解它的漏洞是如何被利用的,我們先看一下什么叫做攻擊面。設(shè)備的攻擊面是指攻擊者可以嘗試?yán)闷涔粼O(shè)備或從設(shè)備中提取數(shù)據(jù)的所有點(diǎn)。攻擊面可包括:
● 與設(shè)備對(duì)接的網(wǎng)絡(luò)端口
● 串行端口
● 用于升級(jí)設(shè)備的固件更新過程
● 物理設(shè)備本身
03 攻擊途徑(Attack Vector)
攻擊面代表著設(shè)備存在的風(fēng)險(xiǎn),是安全防御的重點(diǎn)。因此,保護(hù)設(shè)備就是一個(gè)理解設(shè)備可能存在的攻擊途徑并保護(hù)它們以減少攻擊面的過程。
常見的攻擊途徑通常包括:
● 接口
● 協(xié)議
● 服務(wù)
圖2:該圖顯示了一個(gè)簡(jiǎn)單邊緣設(shè)備的潛在攻擊途徑。
(圖源:貿(mào)澤電子)
從圖2我們可以看到,一些攻擊途徑來自于網(wǎng)絡(luò)或本地接口、設(shè)備上運(yùn)行的固件周圍的各種面,甚至物理包本身。下面我們來探討一些攻擊途徑以及如何保護(hù)它們。
04 通信
攻擊接口或協(xié)議是一個(gè)多層次的問題。與云端通信本身存在安全性問題,包括數(shù)據(jù)安全性以及通過一個(gè)或多個(gè)協(xié)議(如HTTP)訪問設(shè)備的安全性。
傳輸層安全性(TLS)應(yīng)保護(hù)與設(shè)備的所有來回通信。這種類型的加密協(xié)議包括身份驗(yàn)證,以確保雙方都清楚他們?cè)谂c誰通信,以及所有數(shù)據(jù)的加密,以避免竊聽攻擊。這對(duì)于通過公共網(wǎng)絡(luò)(如互聯(lián)網(wǎng))與遠(yuǎn)程云通信的邊緣設(shè)備而言是理想選擇。
考慮到數(shù)據(jù)在IP網(wǎng)絡(luò)上的移動(dòng)速度,為了高效管理身份驗(yàn)證和數(shù)據(jù)加密與解密,必須進(jìn)行硬件加速。具有硬件加密加速功能的處理器包含為實(shí)現(xiàn)傳輸層安全性(TLS)而進(jìn)行的片上加密加速,可確保與遠(yuǎn)程系統(tǒng)的安全通信。
使用Kerberos等協(xié)議進(jìn)行身份驗(yàn)證可以確??蛻魴C(jī)和服務(wù)器安全地標(biāo)識(shí)自己。Kerberos依賴于對(duì)稱密鑰加密或公鑰加密,這兩種加密都可以使用包含加密引擎的處理器來加速。
05 協(xié)議端口
與網(wǎng)絡(luò)接口一起使用的協(xié)議端口是聯(lián)網(wǎng)設(shè)備上最普遍的攻擊途徑之一。這些端口使對(duì)設(shè)備的協(xié)議訪問暴露于風(fēng)險(xiǎn)之中。例如,web接口通常通過端口80而暴露,因此向攻擊者提供有關(guān)可攻擊的漏洞類型的信息。
保護(hù)這些端口的最簡(jiǎn)單方法之一是使用防火墻。防火墻是設(shè)備上的應(yīng)用程序,您可以將其配置為限制對(duì)端口的訪問,從而保護(hù)端口。例如,防火墻可以規(guī)定禁止訪問指定端口(預(yù)定義的受信任主機(jī)除外)。這樣可以限制對(duì)端口的訪問,有助于避免利用協(xié)議漏洞的常見攻擊,如緩沖區(qū)溢出攻擊。
06 固件更新
邊緣設(shè)備正在變得越來越復(fù)雜,執(zhí)行著比前幾代更先進(jìn)的功能,包括機(jī)器學(xué)習(xí)應(yīng)用程序。伴隨著這種復(fù)雜性,需要修復(fù)問題并發(fā)布設(shè)備更新。但是,固件更新過程會(huì)產(chǎn)生攻擊途徑。通過在邊緣安全計(jì)劃中對(duì)固件更新實(shí)施安全措施,可以減輕攻擊者帶來的風(fēng)險(xiǎn)。
代碼簽名是一種常用的安全方法,用于避免惡意代碼進(jìn)入設(shè)備。這需要使用加密散列函數(shù)對(duì)固件映像進(jìn)行數(shù)字簽名。加密散列函數(shù)可在固件更新過程之前在設(shè)備上使用,以確保代碼是真實(shí)的,并且在簽名后未被更改。
已簽名的代碼也可以在引導(dǎo)時(shí)使用,以確保本地存儲(chǔ)設(shè)備中的固件沒有被更改。這包括兩種攻擊途徑,一是利用設(shè)備的更新過程,試圖使用存在漏洞的圖像更新設(shè)備,二是保護(hù)設(shè)備,使其不受強(qiáng)制塞入本地存儲(chǔ)設(shè)備的圖像的影響。
使用可信平臺(tái)模塊(TPM)也頗有好處。TPM是一個(gè)安全加密處理器,專門用于安全功能,通常包括哈希生成、密鑰存儲(chǔ)、哈希和加密加速以及其他多種功能。
07 物理安全措施
防篡改設(shè)計(jì)可以幫助檢測(cè)設(shè)備是否已被物理打開或以某種方式受到損害。這還包括盡可能減少外部信號(hào),以限制攻擊者監(jiān)視其控制的設(shè)備和發(fā)現(xiàn)漏洞的方式。攻擊者可能試圖監(jiān)視總線信號(hào)以識(shí)別安全信息,并且在極端情況下,可能會(huì)對(duì)設(shè)備施加溫度變化、更改時(shí)鐘信號(hào),甚至通過使用輻射來誘發(fā)錯(cuò)誤。搞清楚潛在攻擊者用來了解您的設(shè)備的方法將有助于打造更安全的產(chǎn)品。
08 從何處了解更多信息
隨著當(dāng)今網(wǎng)絡(luò)戰(zhàn)的不斷發(fā)展,個(gè)人和國家可以有各種動(dòng)機(jī)來尋求利用設(shè)備漏洞,邊緣安全是一場(chǎng)漫長(zhǎng)而艱難的戰(zhàn)斗。但是,采取現(xiàn)代安全措施并在產(chǎn)品開發(fā)之初就考慮安全問題,將大大有助于確保設(shè)備的安全性。及早分析設(shè)備的攻擊面將有助于確定把注意力集中在何處,以便開發(fā)更安全的設(shè)備。您可以在貿(mào)澤安全博客了解更多詳情。
來源:貿(mào)澤電子,原創(chuàng):M. Tim Jones
免責(zé)聲明:本文為轉(zhuǎn)載文章,轉(zhuǎn)載此文目的在于傳遞更多信息,版權(quán)歸原作者所有。本文所用視頻、圖片、文字如涉及作品版權(quán)問題,請(qǐng)聯(lián)系小編進(jìn)行處理。
推薦閱讀:
特別推薦
- 授權(quán)代理商貿(mào)澤電子供應(yīng)Same Sky多樣化電子元器件
- 使用合適的窗口電壓監(jiān)控器優(yōu)化系統(tǒng)設(shè)計(jì)
- ADI電機(jī)運(yùn)動(dòng)控制解決方案 驅(qū)動(dòng)智能運(yùn)動(dòng)新時(shí)代
- 倍福推出采用 TwinSAFE SC 技術(shù)的 EtherCAT 端子模塊 EL3453-0090
- TDK推出新的X系列環(huán)保型SMD壓敏電阻
- Vishay 推出新款采用0102、0204和 0207封裝的精密薄膜MELF電阻
- Microchip推出新款交鑰匙電容式觸摸控制器產(chǎn)品 MTCH2120
技術(shù)文章更多>>
- 中微公司成功從美國國防部中國軍事企業(yè)清單中移除
- 華邦電子白皮書:滿足歐盟無線電設(shè)備指令(RED)信息安全標(biāo)準(zhǔn)
- 功率器件熱設(shè)計(jì)基礎(chǔ)(九)——功率半導(dǎo)體模塊的熱擴(kuò)散
- 準(zhǔn) Z 源逆變器的設(shè)計(jì)
- 第12講:三菱電機(jī)高壓SiC芯片技術(shù)
技術(shù)白皮書下載更多>>
- 車規(guī)與基于V2X的車輛協(xié)同主動(dòng)避撞技術(shù)展望
- 數(shù)字隔離助力新能源汽車安全隔離的新挑戰(zhàn)
- 汽車模塊拋負(fù)載的解決方案
- 車用連接器的安全創(chuàng)新應(yīng)用
- Melexis Actuators Business Unit
- Position / Current Sensors - Triaxis Hall
熱門搜索
單向可控硅
刀開關(guān)
等離子顯示屏
低頻電感
低通濾波器
低音炮電路
滌綸電容
點(diǎn)膠設(shè)備
電池
電池管理系統(tǒng)
電磁蜂鳴器
電磁兼容
電磁爐危害
電動(dòng)車
電動(dòng)工具
電動(dòng)汽車
電感
電工電路
電機(jī)控制
電解電容
電纜連接器
電力電子
電力繼電器
電力線通信
電流保險(xiǎn)絲
電流表
電流傳感器
電流互感器
電路保護(hù)
電路圖