電子產(chǎn)業(yè)一站式賦能平臺(tái)

PCB聯(lián)盟網(wǎng)

搜索
查看: 1441|回復(fù): 0
收起左側(cè)

嵌入式培訓(xùn)周末_嵌入式系統(tǒng)技術(shù):物聯(lián)網(wǎng)或?qū)⒁晷乱惠嗁Y料外泄風(fēng)暴?

[復(fù)制鏈接]

2607

主題

2607

帖子

7472

積分

高級(jí)會(huì)員

Rank: 5Rank: 5

積分
7472
跳轉(zhuǎn)到指定樓層
樓主
發(fā)表于 2020-7-24 12:18:27 | 只看該作者 回帖獎(jiǎng)勵(lì) |正序?yàn)g覽 |閱讀模式
嵌入式培訓(xùn)周末_嵌入式系統(tǒng)技術(shù):物聯(lián)網(wǎng)或?qū)⒁晷乱惠嗁Y料外泄風(fēng)暴?,   

有人擔(dān)心物聯(lián)網(wǎng)引申新一輪資料外泄風(fēng)暴,新增的設(shè)備并不是傳統(tǒng)個(gè)人計(jì)算機(jī)或智能裝置般具有一定防護(hù)功能,可能意味著為攻擊者提供更多潛在切入點(diǎn)來入侵企業(yè)。

很多這些設(shè)備都屬于嵌入式系統(tǒng)范疇,該領(lǐng)域的專家擔(dān)心,從嵌入式技術(shù)令人擔(dān)憂的歷史來看,這種技術(shù)可能給企業(yè)帶來最嚴(yán)重的安全風(fēng)險(xiǎn)。  

物聯(lián)網(wǎng)令Stuxnet惡夢隨時(shí)翻生 傳統(tǒng)嵌入式設(shè)備包含很小的芯片組,并通常有「精簡版」的Linux操作系統(tǒng)。

日常見的嵌入式設(shè)備例子有USB閃儲(chǔ)記憶裝置,而令伊朗核電廠受感染的Stuxnet正是利用USB記憶裝置潛入內(nèi)部系統(tǒng)。其他諸如聯(lián)網(wǎng)打印機(jī),甚至還有現(xiàn)在的硬盤驅(qū)動(dòng)器固件與Equation間諜軟件就有密切關(guān)系。 物聯(lián)網(wǎng)的出現(xiàn)讓該類別的設(shè)備正迅速增加,將網(wǎng)絡(luò)功能擴(kuò)展到廣泛的設(shè)備中,這些設(shè)備以前從沒有過這種功能,例如恒溫器和雪柜等辦公設(shè)備。這樣一來,企業(yè)可能很快就會(huì)發(fā)現(xiàn)他們網(wǎng)絡(luò)中出現(xiàn)更多新的攻擊點(diǎn),令企業(yè)資料在危機(jī)之下,專家并不確定這些新一代嵌入式設(shè)備是否已經(jīng)解決了傳統(tǒng)的安全漏洞。  

更新慢成最大隱憂 嵌入式系統(tǒng)歷來都會(huì)使用大量專有組件,并沒有與其他系統(tǒng)共享太多共同電路,這意味著當(dāng)發(fā)現(xiàn)漏洞時(shí),由于成本或資源限制,漏洞不太可能得到修復(fù)。

現(xiàn)代嵌入式系統(tǒng)開始與其他流行移動(dòng)設(shè)備共享一些相同的內(nèi)部系統(tǒng)組件(例如ARM芯片),但嵌入式設(shè)備通常必須在幾年甚至幾十年受到支持,這又會(huì)導(dǎo)致一些新的問題。 手機(jī)更新迅速,但嵌入式系統(tǒng)應(yīng)用周期會(huì)較長,手機(jī)快速迭代的過程并沒有出現(xiàn)在持續(xù)使用10年到20年的嵌入式設(shè)備中,調(diào)試這些設(shè)備的團(tuán)隊(duì)會(huì)繼續(xù)向前發(fā)展,所以安全過程很有限。除了嵌入式系統(tǒng)需要的支持水平,即使有可用的軟件更新,企業(yè)可能都會(huì)忽視這些設(shè)備,例如打印機(jī)或者智能溫控器這些被認(rèn)為很低生產(chǎn)價(jià)值的東西,管理層愿意花多少成本來確保其安全性? 最常被忽略的嵌入式威脅之一是VoIP會(huì)議電話和其他有錄音設(shè)備,因?yàn)榭梢栽诓槐徊煊X的情況下打開來記錄敏感信息。物聯(lián)網(wǎng)的普及意味著企業(yè)將面對(duì)更廣泛類型設(shè)備帶來的安全問題,可穿戴設(shè)備和其他設(shè)備都可能會(huì)進(jìn)入企業(yè)網(wǎng)絡(luò),而且通常它們沒有內(nèi)置安全控制。

智慧空調(diào)或咖啡機(jī)等設(shè)備將為企業(yè)及家居帶來新風(fēng)險(xiǎn),這些設(shè)備的支持責(zé)任可能很模糊,因?yàn)樗鼈兛赡軐儆谖飿I(yè)管理者,而不在企業(yè)IT部門的職權(quán)范圍。 統(tǒng)一安全設(shè)計(jì) 專家指出目前還不知道在長期來看新的嵌入式設(shè)備是否將比過去得到更好的支持,但保護(hù)嵌入式設(shè)備的關(guān)鍵是在一開始就安全地設(shè)計(jì)設(shè)備。

企業(yè)必須在一開始設(shè)計(jì)硬件和固件時(shí),就確保它們可以防止惡意軟件訪問或物理篡改,硬件可以在現(xiàn)場進(jìn)行升級(jí)來修復(fù)漏洞和安全漏洞,這非常常見,但在你進(jìn)行這個(gè)過程時(shí)如果沒有全面思考,你將制造更多問題。安全的設(shè)計(jì)包括防止對(duì)設(shè)備的物理篡改、加密以及硬件數(shù)字簽名。 這些硬件不僅在安裝之前會(huì)檢查安全性,在第一次運(yùn)行之前也會(huì)進(jìn)行檢查。

但這可能很困難,所以企業(yè)可能需要改變嵌入式設(shè)備政策。從企業(yè)的角度來看,這是關(guān)于允許什么連接到網(wǎng)絡(luò),使用端點(diǎn)保護(hù)來阻止除白名單產(chǎn)品以外的設(shè)備,這應(yīng)該會(huì)讓企業(yè)非常嚴(yán)格地明確哪些可以連接到網(wǎng)絡(luò),我認(rèn)為我們將會(huì)看到企業(yè)開始限定允許聯(lián)網(wǎng)的設(shè)備。

  Wind River Systems公司物聯(lián)網(wǎng)解決方案高級(jí)主管Alexander Damisch同意這種說法。Damisch建議企業(yè)安全地設(shè)計(jì)自己的基礎(chǔ)設(shè)施,這可能包括在發(fā)送或接收企業(yè)網(wǎng)絡(luò)的數(shù)據(jù)之前對(duì)設(shè)備進(jìn)行身份驗(yàn)證;因?yàn)楹茈y檢測嵌入式固件中的惡意軟件,監(jiān)控流量是關(guān)鍵。這就是說,企業(yè)需要在一定程度上管理個(gè)人設(shè)備,這是使用者不喜歡的事情,但另一種選擇是,讓用戶根本就沒有訪問權(quán)限。最關(guān)鍵的不是阻止個(gè)人設(shè)備,而是讓用戶知道系統(tǒng)被設(shè)計(jì)成這樣,這可以幫助員工更容易地接受這種做法。

  對(duì)網(wǎng)關(guān)背后或虛擬系統(tǒng)中的易受攻擊嵌入式系統(tǒng)進(jìn)行隔離,這通常是更具成本效益的做法,并允許更新網(wǎng)關(guān)規(guī)則來阻止新的威脅,畢竟嵌入式系統(tǒng)可能會(huì)變化,因?yàn)樗鼈儧]有被設(shè)計(jì)為經(jīng)常更新。 找到安全薄弱的地方,然后把它放在虛擬系統(tǒng),或者在前面部署網(wǎng)關(guān),從而監(jiān)控和加密其中的所有流量,安全應(yīng)該是從開發(fā)過程就開始考慮的因素。

發(fā)表回復(fù)

本版積分規(guī)則


聯(lián)系客服 關(guān)注微信 下載APP 返回頂部 返回列表