编辑器的选择


为下一代网络攻击做好准备

2021年4月28日编辑器的选择

物联网攻击通常以两种方式发生:远程攻击(通常通过互联网对设备进行远程攻击)和本地攻击(攻击者拥有目标设备)。远程或逻辑攻击的目标是软件,而本地或物理攻击的目标是设备本身内部的硅。

在过去的20年中,大多数网络攻击都是来自个人的云的远程攻击,具有简单的目标:看他们是否可以做到,或访问一些受保护的信息。但在过去的四年或五年中,我们已经看到了更多有组织的团体的兴起,专注于通过赎金软件攻击敲诈勒索。这个“Cyber​​ Mafia”包括大量员工和协调敲诈勒索的大型犯罪企业。

在过去,大多数勒索软件攻击都是针对勒索个人。但今天,每次攻击的价值已经增加到数百万美元,目标已经转移到越来越大的企业。他们不是从个人身上敲诈几百美元,而是从企业目标身上敲诈数百万美元。

根据ClowdStrike的《2020年全球威胁报告》,“进入2019年,CrowdStrike Intelligence预计大型游戏狩猎(BGH)——目标明确、有犯罪动机的企业级勒索软件攻击——预计至少会以2018年的速度继续下去。然而,观察到的不仅是继续,而且是升级。赎金要求越来越高。战术变得更加残酷。像WIZARD SPIDER这样的犯罪组织扩大了其业务,RaaS(勒索软件即服务)恶意软件开发商的分支机构采用了BGH攻击。总之,贪婪的人越来越贪婪,富有的人越来越富有。”

从遥控器转移到当地攻击

袭击本身也变得更加深思熟虑和有条不紊。一旦进入这些公司的系统,黑客就会使用现有的工具,在防御失效的特定时间进行攻击,或者他们知道响应将被延迟。

我们看到的另一个趋势是,攻击正从远程转移到本地。原因之一是那些负责保护公司网络的人在防范以云为中心的攻击方面做得很好。我们有成熟的安全对策,有了这些系统,从互联网攻击it基础设施就变得更加困难了。如今,破坏系统最成功的方式是黑客行为;通过网络钓鱼攻击诱骗某人放弃用户名和密码。但即便如此,也越来越难做到,因为公司在教育员工如何识别这些骗局方面做得很好。

在2018年全球威胁报告中,CrowdStrike开始报道“突破时间”。“这个关键的网络安全指标衡量的是从对手最初入侵环境到他们通过受害者网络向最终目标移动的速度。”这迫使攻击者查看其他漏洞,包括边缘节点作为更大系统的接入点。

从历史上看,终端节点并不是一个特别有利可图的目标,因为奖励只是包含在特定设备上的信息。然而,最大的例外是勒索软件。个人电脑勒索软件已经成为黑客们相当可观的收入来源,因为只要能感染多少人,他们每攻击一次就能获得200至300美元。但即便如此,这种能力也正在逐渐消失,因为美国联邦调查局(FBI)和nomoreransom.org等组织已经开发出无需支付赎金就能解锁加密数据的工具。

支点进攻的兴起

好人赢了,罪犯该怎么办?进入枢轴攻击。pivot攻击是针对结束节点的攻击,目的是利用它攻击更高级别的基础设施。这种“自下而上”的方法利用了这样一种假设:因为攻击通常来自云,所以架构底部的设备是可信的。由于终端节点以前从未被认为是目标,因此它们的安全性(如果有的话)是很弱的。

结合支点攻击的创新是物联网和工业物联网的崛起如何显著增加底部智能设备的数量。在供应链中,这些物联网和工业物联网设备往往非常容易访问。你可以在网上或任何电器商店买到。由于这些设备易于访问,机会主义的黑客可以在它们身上花费尽可能多的时间。

所有这些因素使得本地攻击更具吸引力。这些犯罪企业利用先进的渗透实验室创造的黑客工具将会得到更好的构思、开发和测试。现在,随着物联网设备的指数级增长,它们更容易大规模部署。

移动目标-操作技术

勒索软件不仅变得更有针对性,而且它的焦点正从以it为中心的游戏计划转移到以操作技术(OT)为中心。OT与经营企业的主要目的有关。在Silicon Labs,我们专注于建筑自动化、工厂自动化或建筑控制,你可以想象,对于这些类型的操作,业务连续性的中断可能会导致重大的经济损失。攻击者知道这些行动会有很大的损失,并愿意为此付出代价。网络罪犯会寻找最有利可图的目标,勒索软件形式的勒索已成为一种流行的欺诈行为,这一点也不奇怪。

如前所述,勒索软件开始时规模较小,但逐渐瞄准了私营企业、地方和州政府等更大的目标。根据IBM的《2020年X-Force威胁情报指数》报告,2019年第四季度,与2018年同期相比,勒索软件的使用增加了67%。

政府机构受到的打击尤其严重。2019年,仅在上半年就有70多个政府实体遭到勒索软件攻击。要求的赎金越来越多。例如,根据同一份IBM报告,2019年,一个网络犯罪团伙使用Ryuk勒索软件向一家医院索要了1400万美元的赎金。

盈利能力促使加班费成为焦点目标,但这不是唯一的因素。部署的便捷性也在发挥作用。操作设备包括制造系统、机器人、火灾报警系统和门禁系统,历来都是具有专有协议的专有系统。工业控制系统也是如此。

在过去,成本一直是主要的驱动因素,而这些设备通常没有内置安全性。物联网(IoT)和工业物联网(IIoT)的趋势也在向系统中引入以前没有的设备。特别是对于工业物联网来说,方法一直是在地面上放置廉价的传感器,然后将数据发送到云。考虑到这些市场的性质和用途,这些设备可能来自非常小的公司或初创企业,它们没有资源专注于一流的安全功能。

每个传感器都创建了一个新的攻击矢量,并有可能使关键系统崩溃。停机时间可以用来勒索大量赎金,以换取服务的恢复。来自世界各地的廉价传感器更容易在供应链中拦截,并在装备精良的黑客实验室中与本地攻击妥协。例如,纽约金融区一座高层办公大楼的火灾报警系统遭到破坏。警报系统可能会被触发,整个300层楼的人都被疏散到街上。如果同一栋楼的门禁系统也被破坏了呢?你现在可以把所有人都锁在大楼外面了。想象一下在这种情况下可以获得多少赎金。考虑到每分钟损失的金额,十亿美元的赎金是不可能的。

靶向OT的另一个优势是单个设备可能比单个IT设备造成更大的损害。例如,一个策略性放置的配电开关可以让整个城市陷入黑暗。这些犯罪分子还展示了适应和学习的能力,随着政府认识到这一威胁只会扩大,法规即将迫使物联网部署的安全。

法规在这里

《加州消费者隐私法》于2020年1月1日生效。本法案要求“合理的”安全特性,该安全特性应适用于设备的性质和功能及其收集、包含或传输的信息。

必须旨在保护设备和未经授权的访问,破坏,使用,修改或披露所含的设备和任何信息。预先编程的密码在制造的每个设备中都是唯一的。简而言之,法律要求这些设备无法被黑攻击。许多其他国家已经介绍了类似的账单,使得30%的美国人口仅受此类监管。

对于美国来说,国家标准与技术研究所(NIST)将作为决定什么是“合理的”的管理机构,我们可以期待更多的立法和法庭案件继续指导法律的前进。NIST发布了NISTIR 8259A,为可扩展物联网设备建立了网络安全特性基线。

美国并不是唯一一个努力保护物联网设备安全的国家。英国和其他欧洲国家目前正在与欧洲电信标准协会(ETSI)合作,为消费者物联网制定类似的规范性安全特性。ETSI是由欧洲委员会认可的,并被特许在欧洲为信息和通信技术(ICT)行业制定标准。NISTIR 8259A有许多相同的主题,需要安全特性的需求,如软件/固件的可更新性和确保软件的完整性,这将需要安全引导和嵌入式设备固件的安全更新。

安全应以与威胁和规定相同的速度发展

为了帮助客户应对不断变化的环境的挑战,并跟上法规的步伐,Silicon Labs推出了Secure Vault,这是一个保护和未来防护物联网设备的平台。安全金库带来的一个关键方面是安全密钥管理。密码学是安全的核心,而密码学的基本要素是其密钥的保密性,因此保护这些密钥是任何安全系统的首要目标。

作为这一过程的一部分,安全保险库利用了一个独特的数字指纹生成的物理上不可克隆的功能。这可以用来创建一个AES对称密钥,该密钥在系统断电时物理上消失,因此AES对称密钥甚至在芯片关闭时不存在。这是解决密钥管理挑战的一种非常有效的解决方案,该功能可以扩展到支持开发人员应用程序所需的大量密钥。

安全金库还包括一个篡改检测系统,一旦设备在篡改事件后关闭,密钥就不能被重建。

安全保险库是目前最先进的硬件和软件安全保护套件,并提供:

•安全设备身份证书(Secure Device Identity Certificate),概念上类似于出生证,适用于每个硅片,支持部署后的安全性、真实性和基于认证的健康检查,确保芯片在其生命周期内的真实性。

•高级篡改检测,使开发人员能够设置适当的响应行动,当设备遭遇意外行为,如极端电压,频率和温度变化,这可能表明一个漏洞。

•安全密钥管理和存储,这是一个中心组件,通过对应用程序代码中的密钥进行加密和隔离,并使用物理不可克隆功能(PUF)硬件生成的主密钥加密密钥(KEK),防止直接访问物联网设备及其数据。

安全要求需要一致性和认证

一旦要求到位,仍然存在如何解释,测量和认证的问题。在一天结束时,消费者必须能够从货架上挑选产品,并快速浏览,确定该设备是否为该类型的设备具有正确的安全性。

在20世纪初,当电力开始进入千家万户的时候,大量的家用电器涌入了市场。随着设备数量的成倍增长,没有适当防火安全功能的设备引发了一系列房屋火灾和死亡事件。为了解决这个问题,美国的UL和欧洲的CE等政府安全法规和实体不断发展,以满足对产品测试和认证的需求。这些方法在降低消费者风险方面是如此有效,以至于我怀疑许多欧洲或美国人是否会担心或甚至考虑他们购买的电器是否会烧毁他们的房子。

与消费者之间的这种信任是我们在安全性方面需要达到的。但是,我们怎样才能让一个消费者从货架上取下一件商品,并且知道他不仅仅是让黑客进入了存储在他家庭网络上的财务账户信息呢?或者一个建筑所有者订购了一个建筑照明控制系统,却不担心他们是否为黑客购买了一个后门,以窃取他们的IP,破坏他们的品牌,或窃取他们的市场份额?

虽然ETSI和NIST的要求是一个很好的指导方针,但是世界市场和政府仍然在为如何一致地将这些要求应用到处理能力、内存和原始计算能力差异很大的产品上而挣扎。例如,有线机顶盒或游戏机通常比智能恒温器或智能扬声器具有更强大的处理能力和内存。智能音箱的处理能力和内存要比智能门锁强得多。智能门锁的处理能力通常比电池供电的检漏仪、运动传感器或触点开关强得多。

好消息是,这些类型的每种设备通常都具有缩放的安全需求,该安全需求与处理电量和存储器的级别进行缩放。例如,高端游戏控制台的安全要求极大地反映了子网上运动传感器的安全要求。

这是保护概念的概念变得非常重要。保护配置文件是ISO标准的常见标准标准的一部分,这已经存在了一段时间,但仅限于银行卡和护照中使用的智能卡(安全元件)。GlobalPlatforms.org还采用了一种保护型材,用于定义可信任的执行环境,或T恤,该环境由智能手机,平板电脑和高端Linux销售终端采用。

对于物联网和工业物联网市场,我们需要加快保护配置文件的使用,以定义特定类型设备的正确安全级别。特定于设备的保护配置文件将权衡设备的资源、威胁分析和设备的成本,以制定该设备类型所需的基本安全级别。您可以想象,机顶盒的保护配置文件将比无线触点开关的保护配置文件广泛得多。

但是,这些保护配置文件在哪里定义?它们没有被etsi或nist定义。它们没有由期望制造商定义保护概况的认证实验室定义。您不想要的是为每个公司为自己的产品线定义自己的保护档案。如果发生这种情况,你可以想象在消费世界中会随之而来的混乱。

我们需要的是,一种产品的四到五个最大的制造商坐在一个房间里,就这种产品的基本安全要求达成协议。然后,他们需要就一种标准化的方法达成一致,来衡量和认证这种保护概况。

可以通过贸易联盟实现这一点,例如糖尿病技术协会(DTS),这是一个致力于促进技术开发和使用以对抗糖尿病的非营利组织。DTS创建了DTSec。DTSec是联网糖尿病设备的网络安全保护配置文件。但如果我们等着每个“trade.org”都建立一个保护机制,那我们可能要等很长时间了。

另一个.org,最近解决了保护配置文件是IOXT联盟。这是一个非营利性,其促销员成员是亚马逊,康卡斯特,谷歌,洛尚,居住,硅实验室,T-Mobile和ZigBee联盟。其他值得注意的成员是Somfy,Z-Wave,Mobilitie,NXP,Accuituy品牌,Cree Lighting,Schneider电气,MMB网络和罗技。IOXT联盟使命的一大部分是为大型制造商提供一个安全和公平的地方,以实现其行业的保护型材。

一旦您有了一个保护配置文件,下一个问题就是如何根据该保护配置文件一致地度量和认证产品。要让消费者在购买物联网设备时不担心安全性,需要解决的所有问题中,持续测量和认证产品是保护配置文件背后的下一个大问题。有像ISO 17025这样的标准对测试实验室进行认证,但这并不能保证实验室有任何测试特定设备的经验,结果可能好也可能坏,但不太可能在实验室之间保持一致。

在欧洲有一个由ISO 15408定义的通用标准,它为测试实验室申请测量保护剖面提供了一个测试框架。但这些要求,就像智能卡的保护配置一样,在过去10多年里被广泛用于衡量独立安全元件的安全性。即使是安全元件制造商也认为,对于动态和多样化的物联网世界来说,它过于严格。

几个欧洲实体已经开发了一个轻量级版本的通用标准,称为物联网平台安全评估标准(SESIP),该标准已被GlobalPlatform.org用于认证物联网设备。该标准具有一定的前景,因为它至少是灵活的,适合于物联网市场。但一些人仍然认为,对于一个大类别的物联网设备来说,它太重了,而且在不久的将来,仍无法扩展到预计的数十亿物联网设备。

ioXt联盟正在实施物联网认证的新举措。由于它是一个新的组织,不局限于过去的想法,它不仅拥抱每一种类型的设备都需要自己的保护档案来定义正确的认证级别,而且认证可以有效地聚集资源。

ioXt联盟认为,自我认证是一种完全可以接受的选择,可以根据定义的配置文件来认证产品,但需要对这种方法进行市场检查和平衡。当然,它提供并鼓励ISO 17025认证实验室根据ioXt联盟的保护配置文件进行认证,但这并不是硬性要求。

无论产品是否经过了自我认证,或由合格的实验室认证,每个公司都必须签署遵守一个“bug bounty”计划。在公司必须支付赏金之前,这个漏洞赏金程序是受控的,索赔要求是经过审查的。

bug bounty的好处在于它能让每个人保持诚实,认证系统也能自我调节。而且因为它是一个受控的过程,它对供应商来说是一个更好的系统,而不是今天发生的所有事情都是自由的,大学可以做一点安全测试,并对一个没有现实或事实基础的利用作出广泛的声明,这可能会损害公司的声誉和市场份额,而影响甚微。

自认证的另一个主要好处是,对于依赖于在同一网络上遵守相同安全原则的数百家供应商的大型生态系统来说,它具有很强的可伸缩性。一家提供物联网云服务的公司就是这种生态系统的一个很好的例子。这些公司通常不生产连接到其云的设备,甚至可能不生产聚合这些设备的网关。

IoT云服务提供商如何警察连接到其网络的设备的安全性?一种方法是在IOXT联盟中开发适当的安全配置文件,然后要求将设备附加到其服务的所有公司以表明它们至少对保护概况自认证。ioxt臭虫赏金将随着时间的推移来解决不好的演员。

概括

物联网产品正以自己的方式进入我们生活的方方面面,无论是消费者和企业立即主动拥抱它们,还是随着时间的推移,生活节奏自然而然地将它们引入。在这两种情况下,它们都为那些怀有恶意的人提供了一个可捕食的载体,而安全性不应被视为可选的特性。实施安全保护消费者和制造商、数据、隐私和品牌。监管在这里,世界各国政府都在非常认真地对待它。

然而,实现安全性并不是开发人员所期望的复杂和令人生畏的体验,因为半导体供应商(如Silicon Labs)正在积极地将这一功能添加到他们的硬件和软件组合中,并正在简化实现。虽然NIST、ETSI和ioXt规定的最终物联网设备的特定安全要求可能存在一些差异,但MCU/MPU的底层安全要求看起来非常相似,这对开发人员来说是一个好消息。

回答的大问题仍然是仍然存在,“这种类型的设备的安全性是什么?”这就是为什么IOXT联盟在保护型材上做的工作对IOT中安全性的提升至关重要。针对这些保护型材认证的最佳方式将争取很长一段时间。该认证是否通过更传统的认证实验室来源,或者将更多的是可以轻松扩大的IOXT联盟提供的人群采购方法?时间会告诉,但很可能这将是两者的混合。

尽管在要求、保护配置和认证方面存在一些模糊性,但很明显,物联网安全已不再是“好东西”。开发人员必须开始在他们的产品中拥抱对安全的需求……这是法律。

欲了解更多信息,请联系NuVision Electronics, +27 11 608 0144gdeklerk@nuvisionelec.co.zawww.nuvisionelec.com


信用(s)



分享这篇文章:
通过电子邮件分享 通过LinkedIn股票 打印这一页

进一步阅读:

锂电池充电器IC为1至6个电池
2021年8月25日,NuVision Electronics,电力电子/电力管理
MP2759A是一款高度集成的开关充电器,适用于1- 6芯系列锂离子或锂聚合物电池组。该设备支持几种电池化学类型 ...

阅读更多…
高度安全的亚ghz soc
2021年8月25日,NuVision电子、电信、数据通信、无线、物联网
Silicon Labs号称是世界上第一个将远程射频和能源效率与Arm PSA Level 3安全认证相结合的亚ghz无线解决方案 ...

阅读更多…
统一SDK简化物联网无线互操作性
2021年8月25日,NuVision电子、电信、数据通信、无线、物联网
Silicon Labs发布了其统一软件开发工具包(SDK),该工具包为跨物联网生态系统的连接提供了通用构建块。物联网云和平台开发者将能够 ...

阅读更多…
低延迟无触点角度传感器
2021年8月25日,NuVision Electronics,模拟,混合信号,LSI
MA734是一款MagAlpha数字角度传感器,可以检测永磁体(通常是转轴上的直径磁化圆柱体)的绝对角度位置。高速数据采集 ...

阅读更多…
单/双输出DC/DC电源模块
2021年8月25日,NuVision Electronics,电力电子/电力管理
MPM3690-20是单片电源系统(MPS)的双13a输出或单26a输出电源模块,提供完整的电源解决方案,具有良好的负载和线路调节。它支持 ...

阅读更多…
个人简介:丹尼尔·海伍德
2021年8月25日,编辑选择
我从工程师和企业家身上找到了灵感,他们让自己的企业持续发展,努力发展自己的公司。

阅读更多…
LPWAN在SA中的发挥状态
2021年8月25日,RF设计,科技新闻出版,奥创箭,奥托无线解决方案,编辑选择,电信,数据通信,无线,物联网
为了帮助我们的读者对未来有什么需要期待的东西以及预期的内容,我们就会咨询了一些主导思想,以获得他们的一些见解和意见。

阅读更多…
现代趋势正在塑造新的电源连接器
2021年8月25日,编辑的选择,互联
虽然它可能会对较小的连接器进行反向直观,但是可以使用使用更多数量的较小端子的连接器获得更好的总电流额定值。

阅读更多…
重型连接器的发展
2021年8月25日,凤凰社,编辑的选择,互联
未来的智能生产需要能够快速、简单和经济地组装的智能组件,以创建定制的解决方案,并可以批量交付。

阅读更多…
深度感知相机的光学设计
2021年8月25日,奥创绿箭,编辑的选择
光学在飞行时间(ToF)深度传感相机中起着至关重要的作用,光学设计决定了最终系统的复杂性和可行性及其性能。

阅读更多…








Baidu