泰凌微電子 物聯網 網路安全 智慧家庭 CSA ETSI EN 303 645 ITU-T X.1352 NIST IR 8425

法規/實踐/元件多管齊下 物聯網安全打造智慧生活

物聯網網路的安全威脅與日俱增,為開發人員產品設計帶來挑戰。除了關注相關法規進展並落實安全最佳實踐,採用符合安全需求的元件也有助於開發人員達成所需的安全性。
Shutterstock

數十億裝置無縫通訊和交換資料的物聯網(IoT)時代到來,徹底改變了我們生活和工作的方式。物聯網提供了前所未有的便利和效率,同時也帶來逐漸加劇的安全風險。

根據2020年Unit 42的物聯網威脅報告,98%的物聯網裝置透過未加密的訊息進行通訊,因此容易被攻擊者竊聽。Veridify Security的另一項研究發現,2022年初,針對物聯網的惡意軟體攻擊增加了77%。隨著越來越多的公司和家庭將智慧型裝置整合到日常環境中,物聯網的網路安全已成為必要條件。

法規措施應對安全挑戰

想像智慧家庭的場景,其核心為互聯裝置所形成的物聯網網路,每個物聯網裝置都具備各自功能。恆溫器可以遠端設定完美的室內溫度,智慧燈泡則在晚上降低亮度,甚至冰箱也能保持理想的溫度以保持食物新鮮。不過,在智慧家庭便利的外表下,隱藏著潛在的漏洞網,包括惡意軟體和資料外洩等數位威脅,以及實體攻擊等有形威脅。

舉例來說,弱密碼或預設密碼基本上等於對惡意行為者的公開邀請。缺乏強大的加密也將造成問題,不安全的裝置韌體可能會在物聯網網路安全攻擊的重壓下崩潰。此外,未能及時更新的裝置和應用程式可能會因為錯過關鍵的錯誤修復和安全漏洞而處於未受保護的狀態。

針對這些漏洞,各個國家或地區推出了監管措施,建立可供技術開發人員遵循的標準化框架。這些監管措施包括(但不限於):

.ETSI EN 303 645:該法規由歐洲電信標準協會(ETSI)制定,包含13條規定,涉及物聯網安全的各個方面,包括潛在的攻擊面、軟體更新、資料保護、系統完整性、裝置維護等。

.ITU X.1352:由聯合國專門機構國際電信聯盟(ITU)提出,該標準是一項詳盡的指令,重點在於身分驗證、存取控制、資料機密性和系統完整性。

.NIST IR 8425:為美國國家標準與技術研究院(NIST)發布的出版物,概述物聯網基線功能,包括資產識別、資料保護、網路安全意識和裝置配置。

物聯網安全領域另一個值得注意的法規,是近期發布的美國網路安全標籤(US Cybersecurity Label),其為標準化物聯網裝置安全認證的聯邦措施。為了實現這項認證,連接標準聯盟(Connectivity Standards Alliance, CSA)產品安全工作小組正在開發一項認證計畫,以協助物聯網開發人員遵守新法規,並讓消費者對所選購的產品更加安心。

隨著科技的不斷發展,上述措施和法規有助加強數位基礎設施,並確保在不損害安全性的情況下享受物聯網創新應用帶來的好處,顯示相關法規及措施在技術發展過程中具有不可或缺的地位。

物聯網安全最佳實踐

這些法規乍看之下對產品和軟體開發帶來更多限制,但實際上它們為裝置功能開創更多機會,並且建立起消費者的長期信任。因此,開發人員應考慮實踐以下方案(圖1),以增強其產品或解決方案的安全性和品質。

圖1 物聯網安全實作建議

優先考慮身分驗證和授權

強大的身分驗證機制構成了物聯網安全的基石。確保用戶、裝置和伺服器準確無誤至關重要,採用多重身分驗證(MFA)將引入額外的安全層,讓未經授權的存取變得更加困難。基於角色的存取控制還有助於根據預先定義的使用者角色和權限限制訪問,進而有效減少攻擊面並降低未經授權進入物聯網網路的可能性。

嵌入加密和資料保護措施

資料在靜態和傳輸過程中都應該加密,以防止未經授權的存取。強大的加密演算法和金鑰管理實踐對於保護敏感資訊並防止未經授權的個人存取十分重要。例如,在物聯網裝置和伺服器之間交換資料時,應採用TLS(傳輸層安全)等安全通訊協定,以確保資料始終保密。

部署定期軟體更新和修補程式管理

維護物聯網裝置的安全需要積極主動地進行軟體更新和修補程式管理(Patch Management)。定期進行韌體更新有助於解決新出現的安全漏洞並增強裝置安全性,以免為時已晚,因此也強烈建議業者鼓勵終端用戶隨著新補丁的推出更新其物聯網裝置。為了在威脅到來前預先做好準備,需要持續監控安全漏洞,並制定穩健的修補程式管理策略,以便在需要時盡快部署安全修補程式。

創建安全的開發生命週期

安全性應該整合進整個產品的開發生命週期中。為了及早識別並解決安全問題,應該在開發過程中進行安全評估、程式碼審查和滲透測試。威脅建模(Threat Modeling)是一種主動方法,有助於識別潛在的攻擊媒介和漏洞,讓開發人員能夠相應地確定安全措施的優先順序。此外,向參與物聯網產品開發的所有利害關係人提供安全培訓和安全意識計畫,可以形成一種將安全放在首位的文化。

推動使用者教育並培養安全意識

為物聯網裝置使用者提供安全最佳實務知識是基本(但有時被忽略)的防禦層。業者應提供清晰簡潔的說明來指導使用者執行相關操作,包括更改預設密碼、啟用安全功能,以及保持物聯網網路安全軟體更新至最新版本。為使用者建立報告安全事件或任何可疑活動的透明流程,也能於物聯網生態系統內創造信任和警覺的環境。

選用適合元件有助升級安全性

隨著智慧家庭和辦公室的物聯網裝置整合度提升、更具互通性且關係更加緊密,我們的生活變得更加輕鬆;然而,這也同時導致裝置更容易受到惡意物聯網網路安全攻擊。物聯網技術不斷創新,開發人員需要比那些打算惡意利用新技術的攻擊者領先一步。

要達到頂級的安全性不一定需要複雜的流程,若選擇滿足安全條件的物聯網相關元件,即可取得相應安全性。舉例來說,泰凌微電子便提供與最新物聯網標準無縫對接的解決方案,其多協定SoC設計具有真正的隨機數生成、安全啟動、信任根(RoT)、硬體加密加速器等功能,以確保物聯網裝置的安全。

泰凌微電子的SoC相容於最新物聯網標準,這些標準經過嚴格的認證和測試,為開發人員和消費者提供了值得信賴的安全基礎。此外,泰凌微電子也支持CSA的物聯網產品安全認證計畫。透過遵循安全最佳實踐並選用重視物聯網安全的元件,開發人員可以創建具有創新性且安全可靠的物聯網生態系統。

(本文由泰凌微電子(上海)提供)

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!