物聯網(IoT)技術應用在越來越多場景,許多裝置開始聯網,部份機密資料儲存其中。由於,駭客近年攻擊目標從IT轉向OT,促使IoT裝置處於高風險資安環境。為了防止IoT裝置資料外洩,芯科科技(Silicon Labs)提供了一套安全解決方案Secure Vault,透過PUF產生的加密鑰匙,鎖住企業機密檔案,維持資料的完整性,協助企業提高IoT裝置資料的完整性、真實性、保密性和不可否認性。
隨著工業4.0在全球持續發展,IT/OT密不可分,過去鮮少聯網的工廠裝置開始接上網路線,例如機器手臂、機器人和IoT裝置等,存取工控資料,甚至敏感資料等。另一方面,過去駭客大部分鎖定電腦來發動攻擊,現今駭客轉向攻擊嵌入式裝置或IoT裝置,攻擊手法包括阻斷式服務攻擊(DoS)、勒索攻擊(Ransomware)、竊取資料(Information Theft)、點擊詐騙(Click Fraud)和樞紐攻擊(Pivot Attacks)等。Silicon Labs資深應用工程師林仕文指出,無所不在的IoT裝置,帶來了企業和個人生活的資安風險,駭客從IT攻擊轉向了IoT裝置的硬體攻擊。
IoT資安威脅包括遠端(Remote)攻擊和本地端(Local)攻擊,其中,本地端再細分物理性攻擊(Physical Attacks)和邏輯性攻擊(Logical Attacks)。物理性攻擊常見手法是直接攻擊硬體本身,造成裝置毀損,例如駭客利用旁路攻擊來破解密鑰。邏輯性攻擊則利用韌體的除錯介面(Debug Interface)竄改程式碼,例如駭客置入含有惡意程式的韌體,讓OTA(Over-the-Air)更新此Node來攻擊此IoT裝置,林仕文從這幾年觀察攻擊趨勢發現,IoT攻擊方式慢慢從遠端攻擊朝向本地端攻擊。
由於駭客攻擊IoT裝置事件層出不窮,導致最近全球出現許多與IoT裝置有關的法案,包括:2018年通過的加州SB 327法案、2019年美國國家標準與技術研究院(NIST)發布的NISTIR 8259標準,以及歐洲電信標準協會(ETSI)的TS 103645標準等,凸顯了國際對於IoT裝置產生的資安風險不容小覷。但林仕文認為,這些法案與標準在IoT資安防護的描述過於抽象,沒有提出實際作法來落實。
IoT資安防護重視四個核心分別是:保密性(Confidentiality);真實性(Authenticity);完整性(Integrity),傳送封包未經過任何竄改;最後是不可否認性(Non-repudiation)。為了滿足上述的資安規範和四個核心,Silicon Labs開發針對IoT裝置的硬體式解決方案Secure Vault,嵌入在EFR32 Series 2 xG21B SoC模組內。
Secure Vault利用PUF產生的加密鑰匙,針對IoT裝置的鑰匙來加密,分開應用程式碼與機密資料,每次啟動裝置都會產生新的鑰匙。除此之外,Secure Vault也利用防竄改(Anti-Tamper)、真實隨機亂數產生器(TRNG)和安全啟動機制(Secure Boot)等功能,防止駭客破解鑰匙來保持IoT資料完整性。林仕文表示,最近駭客利用已丟棄的IoT裝置,來取得記憶體內存放的鑰匙,Secure Vault能夠避免駭客利用此手法來竊取鑰匙,造成機密資料外洩。